岗位职责
(1)负责规范集团应用安全开发流程,强化应用开发关键环节风险管控,落实安全前置,开展应用开发安全风险评估,实现应用开发全流程安全管理;
(2)负责集团应用安全体系建设,集团信息系统开发安全标准的制订与落实,日常安全SDL建设和运营,组织应用系统的应用安全评审、代码审计、安全测试和漏洞处理等工作;
(3)负责推动公司应用安全能力在业务层面的落地,包括SAST、DAST、IAST、RASP等系统的使用和策略定制,以及应用漏洞处理和应急等流程的优化;
(4)持续完善SDL管理和技术工具体系,推动代码扫描等工具平台的规划、建设等工作;
(5)负责集团各类系统安全测试(漏扫、配置核查、渗透测试),定期组织开展安全攻防演练,推动系统安全加固;
技能要求
(1)本科及以上学历,5年以上开发安全相关工作经验;
(2)熟悉软件安全开发生命周期流程各阶段安全活动,熟悉金融行业主流的安全标准、安全模型、安全解决方案、安全体系,具备金融行业SDL工作经验和落地经历;
(3)熟练掌握黑盒手工测试,渗透测试,代码审计相关技能,熟悉漏洞原理及解决方案,熟悉安全测试方法及工具使用,如:AppScan、Xray、BurpSuite、MSF、frida、Xposed、Fortify等;
(4)具备Python、SQL等脚本开发能力,具备通过数据分析发现风险能力;
(5)熟悉一种或几种以下语言,JAVA/Python/Go/Node/C++等,有安全平台建设、安全工具开发经验;
(6)具备OSCP,CISP-PTE或其他同等的安全认证;能够使用英文与海外同事进行工作沟通。