安全工程师

1、渗透测试与漏洞挖掘

对Web/移动应用、API、云环境等进行黑盒/白盒渗透测试，输出风险报告及修复方案；

针对高危漏洞设计攻击链验证场景（如横向移动、权限提升等）；

2、安全开发工具自研与替代

自研工具开发：主导或参与开发内部安全工具（如自动化漏洞扫描器、代码扫描器、第三方开源扫描器等），逐步替换现有商业工具；

工具链优化：根据业务需求改进工具功能（如规则引擎、漏洞检测逻辑、分布式扫描架构），提升检测效率和准确性；

第三方工具评估：分析现有工具短板，制定自研替代路线图，降低对外部工具的依赖；

3、安全运营与漏洞治理

运营SAST/DAST/IAST工具，推动漏洞修复闭环，建立修复时效闭环机制。

设计自动化漏洞验证方案（如通过CI/CD流水线触发PoC验证）；

定期输出安全态势报告，推动红蓝对抗、攻防演练等实战化项目；

任职要求：

1、3年以上安全工程师经验，独立完成过至少1个安全工具开发项目；

2、精通渗透测试方法，熟悉ATT&CK框架及主流漏洞利用技术；

3、掌握至少一门开发语言（Python/Go/Java），具备工具开发能力（如使用Flask/Django开发Web工具）；

4、熟悉开源安全工具（如Semgrep、Nuclei、Sqlmap）的二次开发与优化。