1、进行代码安全检查,配合研究总院进行code review,实时跟踪代码安全状态,负责对使用的第三方类库和版本进行安全跟踪,发现安全问题的第一时间进行风险告知,并配合软件开发方设计整改方案
2、在软件部署过程中全程进行网络安全看护,如发现安全隐患,及时进行风险告知,并配合部署团队进行部署方案的整改设计;
3、在线仿真平台研发上线后,对仿真离线软件、在线软件、仿真平台等的部署环境进行安全基线核查等网络安全上线检查工作。
4.负责渗透测试技术服务实施,对web端进行渗透测试并编写渗透测试报告;
5.指导安全漏洞修复,并对安全漏洞进行复核;
6、网络安全事件溯源及处置
要求:
1、精通渗透测试技术,熟悉常见的漏洞类型、攻击手法和防御措施,具备丰富的实际渗透测试经验,能运用多样化的渗透测试工具和技术,如 Burp Suite、Nessus、Metasploit 等,对公司网络架构、应用系统、服务器等进行深度漏洞探测,包括但不限于 Web 应用漏洞、系统漏洞、网络协议漏洞等。
2、具备代码审计能力,对开发的应用程序代码进行全面审查,检查代码中是否存在常见的安全漏洞,如 SQL 注入、跨站脚本攻击(XSS)、文件上传漏洞、权限绕过漏洞等
3、熟练运用各类漏洞扫描工具,如 Nessus、OpenVAS、Acunetix 等,能够对扫描结果进行准确分析和解读,定期使用漏洞扫描工具,对公司信息资产进行全面扫描,及时发现系统漏洞和安全配置问题,依据安全基线,对公司各类信息系统进行定期核查,确保系统配置符合安全要求,及时发现并纠正偏离基线的情况,降低安全风险
4、具备良好的漏洞修复沟通能力,能够与不同技术背景的人员进行有效沟通,推动漏洞修复工作顺利进行。
5、具备较强的学习能力和好奇心,能够紧跟网络安全领域的技术发展趋势,不断学习和掌握新的安全技术和工具。
6、工作认真负责,严谨细致,具备良好的问题分析和解决能力,能够在复杂的环境中快速定位和解决安全问题。
7、具备良好的团队协作精神,能够与团队成员密切配合,共同完成安全项目和任务。
(二)资质证书
1、拥有 3 年及以上网络安全相关工作经验,其中至少 2 年专注于渗透测试、代码审计等工作领域。
2、持有 CISP(注册信息安全专业人员)、CISP - PTE(注册信息安全专业人员 - 渗透测试工程师)等相关权威证书。