主要职责
1. 安全开发与架构设计：
负责或参与核心业务系统、安全中间件、安全平台的开发与维护工作，主要技术栈为Java。
在系统设计、编码、测试阶段融入安全考量，设计和实现安全编码规范。
开发自动化安全工具/脚本，提升安全工作的效率和覆盖面。
2. 安全攻防与渗透测试：
定期对公司的Web应用、移动应用、内部系统进行黑盒/白盒/灰盒渗透测试。
能够独立进行漏洞挖掘、分析和利用，并提供详细的漏洞报告和修复建议。
跟踪和分析最新的安全漏洞、攻击手法，并评估其对公司业务的影响。
3. 代码审计与漏洞修复：
对核心Java代码进行安全审计，识别潜在的编码缺陷、逻辑漏洞和安全风险（如SQL注入、XSS、反序列化漏洞、越权等）。
推动并协助开发团队修复已发现的安全漏洞，并对修复方案进行验证。
建立和维护SDL中的代码审计流程和标准。
4. 安全应急响应与赋能：
参与安全事件的应急响应，能够快速定位安全问题，并进行溯源分析。
针对安全事件中暴露的代码层问题，提供根本解决方案并推动落地。
为研发团队提供安全编码培训，提升整个团队的安全意识和技能。
编写和优化安全开发指南、最佳实践等技术文档。
5. 安全合规与风险管理：
熟悉并理解《网络安全法》、《数据安全法》、《个人信息保护法》等国家法律法规，并能在系统设计和开发过程中落实相关要求。
熟悉信息安全等级保护、ISO27001等信息安全标准与最佳实践。
能够根据公司内部安全管理制度和流程，梳理并识别所在部门或业务线的安全风险。
协助制定并推动执行风险整改措施和计划，形成闭环管理，并输出风险评估和整改报告。
参与内部安全审计和合规检查，确保开发流程和产品符合内控要求。
任职要求
1. Java开发能力：
计算机、通信、安全等相关专业，3年以上Java开发经验。
精通Java语言及JVM原理，深入理解多线程、集合、IO/NIO、网络编程等核心知识。
熟练掌握Spring Boot、Spring Cloud、MyBatis等主流开源框架及其核心原理。
熟悉MySQL、Redis、MQ等中间件的使用和优化，了解常见的数据库安全问题。
具备良好的代码风格和编程习惯，了解设计模式。
2. 安全攻防能力：
至少1年以上实际安全攻防经验，包括但不限于渗透测试、代码审计、漏洞研究。
熟练掌握OWASP Top 10 Web应用安全风险，理解其原理、利用方式及修复方案。
熟悉常见的Web漏洞攻击和防御（如SQL注入、XSS、CSRF、SSRF、文件上传、反序列化等）。
能熟练使用Burp Suite、SQLMap、Nmap等至少一种主流安全测试工具。
具备独立分析漏洞和编写漏洞利用代码/POC的能力。
熟悉常见的AI大模型漏洞攻击和防御。
3. 合规与风险管理基础：
了解中国网络安全与数据隐私相关核心法律法规（《网络安全法》、《数据安全法》、《个人信息保护法》）的基本框架和核心要求。
具备良好的文档编写能力，能够清晰输出风险评估报告、整改方案等技术文档。
具备一定的跨部门沟通和协调能力，能够推动安全整改措施落地。