We use cookies and similar technologies to improve your experience, analyze site usage, and assist in our marketing efforts. Privacy Policy
Budget: CNY 25,000-45,000
Post time:
我们正在寻找一位经验丰富、技术扎实的安全开发工程师,专注于应用层安全架构设计、代码安全审查、漏洞生命周期管理及安全左移实践。候选人需具备3年以上大型互联网或金融级系统安全开发经验,熟悉OWASP Top 10、CWE/SANS 25等主流安全风险模型,并能将安全能力深度嵌入CI/CD流程。 核心职责包括: • 主导Web/API/移动端应用的安全需求分析与威胁建模(如STRIDE、PASTA),输出可落地的安全设计规范; • 实施静态应用安全测试(SAST)、交互式应用安全测试(IAST)及软件成分分析(SCA),对Java/Python/Go/Node.js等主流栈代码开展深度审计; • 独立复现并验证中高危漏洞(如SQLi、XXE、RCE、SSRF、不安全反序列化),编写PoC并推动修复闭环; • 设计并落地自动化安全门禁(Security Gate),集成Checkmarx、SonarQube、Semgrep、Trivy等工具链,提升研发团队安全自检能力; • 编写高质量安全编码规范、安全FAQ文档及内部培训材料,面向开发、测试、运维团队开展常态化安全赋能; • 参与红蓝对抗演练,支撑渗透测试结果分析与加固方案制定,配合完成等保2.0/ISO 27001相关技术整改。 必备技能与经验: • 精通至少两种主流编程语言(Java/Python/Go),熟悉Spring Boot/Django/Gin等框架的安全机制; • 深入理解HTTP/HTTPS、OAuth2.0、JWT、CSP、CORS等协议与安全策略; • 具备Linux系统安全加固、容器(Docker/K8s)运行时安全配置经验; • 熟悉Burp Suite、Nmap、Metasploit等安全工具,有CVE提交或CTF实战经历者优先; • 持有OSCP、CISSP、CSSLP、CISP-DS等认证之一者加分。 我们重视工程思维与安全敏感度的结合——你不仅是漏洞发现者,更是安全能力的构建者与推广者。该岗位为长期合作型技术岗,强调技术深度、跨团队协作与持续交付能力。