核心安全职责： 深度参与公司核心业务系统的安全生命周期管理，主导并执行应用层的安全风险识别、威胁建模、安全方案设计与评审、代码审计（Code Review）以及渗透测试，确保安全风险在开发阶段得到有效控制。

安全工具链与平台建设： 负责规划、建设和持续优化公司级DevSecOps安全赋能平台。具体包括但不限于：集成和实施自动化代码安全扫描（SAST/SCA）、交互式应用安全测试（IAST）、运行时应用自我保护（RASP）、API动态/静态安全扫描、容器镜像安全扫描、第三方组件与开源软件供应链安全管理等，并将其无缝融入CI/CD流程。

安全开发赋能： 面向全公司研发团队，推广SDL（安全开发生命周期）与DevSecOps实践。负责设计并落地开发人员安全培训、编写安全编码规范、开发IDE安全插件等，提升整体研发团队的安全意识与能力。

安全技术研究与落地： 跟踪前沿应用安全技术（如云原生安全、微服务架构安全、API安全治理、软件供应链安全等），评估并推动新技术在公司业务场景中的试点与规模化落地，以应对新型安全威胁。

应急响应与协作： 参与安全事件应急响应，对应用层安全漏洞进行快速分析与处置。能够与产品、研发、测试、运维等跨职能团队高效协作，以清晰专业的沟通推动安全问题的闭环解决。

任职要求

学历与经验： 计算机科学、信息安全等相关专业本科及以上学历，拥有5年及以上专注在应用安全、产品安全或DevSecOps领域的工作经验。

开发与架构理解： 必须具备实际的软件开发经验，熟悉至少一种主流编程语言（如Java/Go/Python等）。深刻理解现代软件架构，包括微服务、容器化（Docker/K8s）、云原生技术栈，并拥有丰富的敏捷开发与DevOps实践认知。

安全技术栈与落地经验： 熟练掌握SDL、DevSecOps方法论，并具备将安全能力工程化落地的成功经验。精通或熟悉IAST、RASP、SCA、AST、API安全网关、容器安全等至少三种技术的选型、部署和运营。

加分项：

在大型互联网公司或顶尖安全公司有相关领域经验者优先。

在知名SRC提交过高质量漏洞、拥有CVE编号、或在CTF比赛中取得过优异成绩者优...