【工作职责】
1)基于安全威胁和风险评估方法,对CBG IT产品进行独立的安全代码评估和漏洞挖掘,人工评估产品合安全标准、规范和基线的遵从性,并推动安全编码问题改进;
2)负责CBG IT产品安全编码工具扫描、工具安全扫描策略开发、告警清零等工作,提升产品可信能力和安全质量;
3)建设CBG IT产品安全编码评估技术体系,研究业界先进标准及方法论,持续提升安全编码评估公共能力,提升产品安全编码效率。
【任职要求】
业务技能要求:
1)熟练掌握主流编程语言,如Java/Python/Shell等;熟悉前端、后端web应用开发主流技术;
2)有较强的学习能力和钻研精神,对安全编码,漏洞挖掘、安全评估有热情,有CTF等参赛经验者优先。
专业知识要求:
1)熟悉代码审计、漏洞挖掘、安全扫描及常用安全编码评估工具,具备Web,移动,应用框架等产品安全编码评估经验,能够独立完成常见类型漏洞的攻击利用;
2)精通常见的安全漏洞原理,具备漏洞挖掘的能力;有威胁建模、Fuzzing测试、渗透测试、白盒安全测试实战经验。
现状:
1、有国内最全面的B2C IT系统开发平台,覆盖了面向B2C行业的绝大部分IT系统,包含了渠道、营销、零售、服务、供应链、财经、研发IPD、数字化运营等各类业务,视野宽广。
2、能够参与系统级设计工具开发以及计算设计实现等工作,对个人技术提升很大,同时注重培养人选的复合型能力。
项目部门情况:致力于为华为B2C市场提供专业的IT解决方案,为CBG提供“极致、简约、高效”的数字化作战与指挥系统,打造国内第一、全球领先的IT系统。