深圳·南山区
职位详情
岗位职责
1. 负责企业SDLC体系落地
●需求安全评审:参与业务需求及产品需求评审,协助识别安全风险,根据安全需求清单输出基础控制措施。
●安全设计支持:在资深、高级工程师指导下参与应用系统架构安全设计,学习并应用威胁建模(如STRIDE方法),协助输出安全设计方案。
●安全左移落地:推动安全要求融入研发流程,维护安全设计checklist,对研发、测试团队进行基础安全培训。
●静态安全测试(SAST):负责SAST平台的日常运营,包括扫描任务配置、漏洞初审与分发、修复进度跟踪;学习自定义扫描规则。
●交互式安全测试(IAST):协助部署和维护IAST探针,配合自动化测试流量进行漏洞检测与验证,整理检测报告。
●组件安全分析(SCA):负责SCA平台的运营,对项目依赖的开源组件进行漏洞扫描与许可证合规检查;识别高风险组件(如Log4j、Fastjson、Spring Framework等),推动研发团队升级或替换;建立组件准入基线,阻止已知高危组件进入生产环境。
●自动化门禁:在CI/CD流水线中配置和维护SAST/IAST门禁规则,协助阻断高危漏洞上线。
●渗透测试执行:负责自研应用、API、后台系统等的渗透测试工作,使用主流工具(Burp Suite、SQLMap、Nmap等)进行漏洞挖掘,输出报告并提供修复建议。
●漏洞验证与跟踪:对发现的应用漏洞进行验证,协同研发团队完成修复,并持续跟踪漏洞闭环。
2. AI应用安全评审
●AI安全评审支持:在高级工程师指导下参与AI应用(如大模型功能模块)的安全评审,学习识别提示注入、模型越狱、数据泄露等AI特有风险。
●测试用例设计:协助设计针对AI功能的测试用例,执行基础对抗性输入测试。
●规范落地:参与AI安全开发规范的推广与培训材料编写。
3. 应用安全运营
●维护应用安全知识库,整理漏洞案例、修复指引和测试用例。
●跟踪OWASP Top 10、常见CVE漏洞,协助更新检测规则。
●输出应用安全度量数据(漏洞数量、修复时长、工具覆盖率等),支持安全报告编写。
任职要求
基础要求
●本科及以上学历,计算机、信息安全相关专业,3年以上应用安全工作经验。
●熟悉常见应用安全漏洞原理(SQL注入、XSS、CSRF、SSRF、反序列化、权限绕过等),具备漏洞挖掘与修复能力。
关键技术能力
●需求与设计:了解威胁建模基本方法(STRIDE),熟悉常见安全设计原则(最小权限、默认安全、纵深防御)。
●SAST/IAST:熟练使用至少一种SAST工具(如SonarQube、Fortify、Checkmarx、CodeQL)及IAST工具(如洞态),能独立配置扫描任务并解读报告。
●渗透测试:具备独立开展黑盒渗透测试能力,熟练使用Burp Suite(含插件)、SQLMap、Nmap、Metasploit等工具,掌握常见绕过手法。
●CI/CD集成:了解Jenkins、GitLab CI等流水线平台,能完成基础安全插件的配置与维护。
●编程能力:掌握至少一门脚本语言(Python/Java/Go),能编写简单的POC或自动化测试脚本。
AI安全专项能力
●了解大语言模型基本原理,熟悉OWASP Top 10 for LLM中的主要风险概念。
●有基础的AI应用测试经验(如提示注入测试、角色逃逸测试)者优先。
●对AI供应链安全有基本认识者加分。
软性能力
●能够清晰地向研发人员描述漏洞原理与修复方案,推动漏洞修复。
●具备良好的文档撰写能力,能输出规范的渗透测试报告、安全评审纪要。
●具备团队协作意识和跨团队沟通能力,能在高级工程师指导下完成复杂任务。
base 珠海
1. 负责企业SDLC体系落地
●需求安全评审:参与业务需求及产品需求评审,协助识别安全风险,根据安全需求清单输出基础控制措施。
●安全设计支持:在资深、高级工程师指导下参与应用系统架构安全设计,学习并应用威胁建模(如STRIDE方法),协助输出安全设计方案。
●安全左移落地:推动安全要求融入研发流程,维护安全设计checklist,对研发、测试团队进行基础安全培训。
●静态安全测试(SAST):负责SAST平台的日常运营,包括扫描任务配置、漏洞初审与分发、修复进度跟踪;学习自定义扫描规则。
●交互式安全测试(IAST):协助部署和维护IAST探针,配合自动化测试流量进行漏洞检测与验证,整理检测报告。
●组件安全分析(SCA):负责SCA平台的运营,对项目依赖的开源组件进行漏洞扫描与许可证合规检查;识别高风险组件(如Log4j、Fastjson、Spring Framework等),推动研发团队升级或替换;建立组件准入基线,阻止已知高危组件进入生产环境。
●自动化门禁:在CI/CD流水线中配置和维护SAST/IAST门禁规则,协助阻断高危漏洞上线。
●渗透测试执行:负责自研应用、API、后台系统等的渗透测试工作,使用主流工具(Burp Suite、SQLMap、Nmap等)进行漏洞挖掘,输出报告并提供修复建议。
●漏洞验证与跟踪:对发现的应用漏洞进行验证,协同研发团队完成修复,并持续跟踪漏洞闭环。
2. AI应用安全评审
●AI安全评审支持:在高级工程师指导下参与AI应用(如大模型功能模块)的安全评审,学习识别提示注入、模型越狱、数据泄露等AI特有风险。
●测试用例设计:协助设计针对AI功能的测试用例,执行基础对抗性输入测试。
●规范落地:参与AI安全开发规范的推广与培训材料编写。
3. 应用安全运营
●维护应用安全知识库,整理漏洞案例、修复指引和测试用例。
●跟踪OWASP Top 10、常见CVE漏洞,协助更新检测规则。
●输出应用安全度量数据(漏洞数量、修复时长、工具覆盖率等),支持安全报告编写。
任职要求
基础要求
●本科及以上学历,计算机、信息安全相关专业,3年以上应用安全工作经验。
●熟悉常见应用安全漏洞原理(SQL注入、XSS、CSRF、SSRF、反序列化、权限绕过等),具备漏洞挖掘与修复能力。
关键技术能力
●需求与设计:了解威胁建模基本方法(STRIDE),熟悉常见安全设计原则(最小权限、默认安全、纵深防御)。
●SAST/IAST:熟练使用至少一种SAST工具(如SonarQube、Fortify、Checkmarx、CodeQL)及IAST工具(如洞态),能独立配置扫描任务并解读报告。
●渗透测试:具备独立开展黑盒渗透测试能力,熟练使用Burp Suite(含插件)、SQLMap、Nmap、Metasploit等工具,掌握常见绕过手法。
●CI/CD集成:了解Jenkins、GitLab CI等流水线平台,能完成基础安全插件的配置与维护。
●编程能力:掌握至少一门脚本语言(Python/Java/Go),能编写简单的POC或自动化测试脚本。
AI安全专项能力
●了解大语言模型基本原理,熟悉OWASP Top 10 for LLM中的主要风险概念。
●有基础的AI应用测试经验(如提示注入测试、角色逃逸测试)者优先。
●对AI供应链安全有基本认识者加分。
软性能力
●能够清晰地向研发人员描述漏洞原理与修复方案,推动漏洞修复。
●具备良好的文档撰写能力,能输出规范的渗透测试报告、安全评审纪要。
●具备团队协作意识和跨团队沟通能力,能在高级工程师指导下完成复杂任务。
base 珠海
2026-05-26 11:54
IP属地:广东
职位福利
本科3-5年
脉冲计算科技(珠海)有限公司
20-99人
工作地址
鱼泡安全保障
如遇到办证收费、刷单、传销、诱导买车等违规行为,请立即向鱼泡直聘投诉举报投诉举报 >
附近适合您的职位
收藏职位
