【岗位职责】
1、统筹并参与公司SDL(软件安全开发生命周期)全流程的设计、从0-1落地及日常维护,主导SDL平台搭建(含代码审计、SCA、漏洞扫描等工具的选型与实操),推动安全活动嵌入研发各环节;
2、负责执行产品安全需求分析、安全设计及威胁建模,参与产品设计方案的安全评审,输出可落地的风险改进建议;
3、主导代码审计工作,覆盖主流技术栈(如Go/PHP/Js),识别代码中的安全漏洞并提供具体修复方案,同步梳理审计流程与规范;
4、统筹安全流程与规范的制定、优化,包括但不限于安全开发、测试、验收等环节的标准,推动全员执行;
5、参与DevSecOps体系建设,协助搭建支撑安全流程的工具平台,推动自动化检查机制落地,兼顾执行层的工具配置与日常运维;
6、协助统筹日常安全运营,包括漏洞管理、安全基线检查、应急响应等,同时参与具体安全事件的分析与处置;
7、配合公司信息安全项目推进,参与风险评估与合规性检查,结合业务提出改进方案并跟进执行。
【任职要求】
1、本科及以上学历,计算机、网络安全、信息安全等相关专业,5 年及以上的安全工作经验,具备SDL从0-1实操落地经验;英语CET-4加分
2、熟悉Go/PHP等至少一种开发语言,JAVA也可以考虑,深入理解对应技术栈的安全漏洞原理、利用方式及修复方案,具备代码审计实操经验;
3、有安全流程梳理、规范制定经验,熟悉SDL全流程,能独立设计适配业务的安全活动节点;
4、掌握威胁建模方法与工具,具备安全需求分析、安全设计及评审经验,能从产品全生命周期识别安全风险;
5、熟悉主流代码审计工具、漏洞扫描工具及SCA工具的使用,有安全工具平台搭建或优化经验者优先;
6、了解常见网络攻击原理与防御手段,有应急响应、安全事件处置经验者优先;
7、持有CISP、CISSP等安全认证者优先,具备一定的跨部门沟通与统筹协调能力。