職位描述：

1. 負(fù)責(zé)國(guó)際業(yè)務(wù)的安全開發(fā)生命周期（SDL），涵蓋PC端、移動(dòng)端、小程序的產(chǎn)品架構(gòu)設(shè)計(jì)、安全評(píng)估、威脅建模及安全測(cè)試。

2. 完善并建立DevSecOps工具鏈（包括SAST、IAST、RASP），積極跟進(jìn)風(fēng)險(xiǎn)處置，撰寫相關(guān)安全策略。

3. 處理Nday漏洞和安全事件響應(yīng)，進(jìn)行復(fù)盤及運(yùn)營(yíng)工作。

職位要求：

1. 熟悉SDL相關(guān)流程，具備實(shí)際落地運(yùn)營(yíng)經(jīng)驗(yàn)，了解常見(jiàn)業(yè)務(wù)安全風(fēng)險(xiǎn)；熟悉SAST、IAST、RASP的原理及應(yīng)用，有相關(guān)產(chǎn)品推動(dòng)經(jīng)驗(yàn)優(yōu)先。

2. 擁有豐富的WEB、小程序及移動(dòng)端安全測(cè)試與漏洞挖掘經(jīng)驗(yàn)（包括黑盒和白盒），具備大型應(yīng)用項(xiàng)目的安全評(píng)估經(jīng)歷；能夠獨(dú)立完成項(xiàng)目的代碼審計(jì)，精通至少一種編程語(yǔ)言（如JAVA、Node.js）。

3. 具備良好的溝通能力，團(tuán)隊(duì)合作意識(shí)和自我驅(qū)動(dòng)力。

4. 精通至少一種編程語(yǔ)言（如JAVA、Node.js）。

5. 熟悉IDA Pro、GDB、JEB、lldb等常用逆向分析工具，具備基本的逆向分析能力，對(duì)ARM、x86/64等指令集有一定了解，掌握軟件逆向靜態(tài)分析、動(dòng)態(tài)調(diào)試、代碼跟蹤、反編譯及Hook注入等技術(shù)。

6. 熟悉阿里云的FW和WAF安全產(chǎn)品，具備復(fù)雜策略部署和運(yùn)營(yíng)經(jīng)驗(yàn)。

7. SRC核心白帽子或有過(guò)移動(dòng)端漏洞提報(bào)者。