職位描述:
1. 負(fù)責(zé)螞蟻國(guó)際業(yè)務(wù)的安全開發(fā)生命周期(SDL),涵蓋PC端、移動(dòng)端、小程序的產(chǎn)品架構(gòu)設(shè)計(jì)、安全評(píng)估、威脅建模及安全測(cè)試。
2. 完善并建立DevSecOps工具鏈(包括SAST、IAST、RASP),積極跟進(jìn)風(fēng)險(xiǎn)處置,撰寫相關(guān)安全策略。
3. 處理Nday漏洞和安全事件響應(yīng),進(jìn)行復(fù)盤及運(yùn)營(yíng)工作。
職位要求:
1. 熟悉SDL相關(guān)流程,具備實(shí)際落地運(yùn)營(yíng)經(jīng)驗(yàn),了解常見業(yè)務(wù)安全風(fēng)險(xiǎn);熟悉SAST、IAST、RASP的原理及應(yīng)用,有相關(guān)產(chǎn)品推動(dòng)經(jīng)驗(yàn)優(yōu)先。
2. 擁有豐富的WEB、小程序及移動(dòng)端安全測(cè)試與漏洞挖掘經(jīng)驗(yàn)(包括黑盒和白盒),具備大型應(yīng)用項(xiàng)目的安全評(píng)估經(jīng)歷;能夠獨(dú)立完成項(xiàng)目的代碼審計(jì),精通至少一種編程語(yǔ)言(如JAVA、Node.js)。
3. 具備良好的溝通能力,團(tuán)隊(duì)合作意識(shí)和自我驅(qū)動(dòng)力。
4. 精通至少一種編程語(yǔ)言(如JAVA、Node.js)。
5. 熟悉IDA Pro、GDB、JEB、lldb等常用逆向分析工具,具備基本的逆向分析能力,對(duì)ARM、x86/64等指令集有一定了解,掌握軟件逆向靜態(tài)分析、動(dòng)態(tài)調(diào)試、代碼跟蹤、反編譯及Hook注入等技術(shù)。
6. 熟悉阿里云的FW和WAF安全產(chǎn)品,具備復(fù)雜策略部署和運(yùn)營(yíng)經(jīng)驗(yàn)。
7. SRC核心白帽子或有過移動(dòng)端漏洞提報(bào)者。