1. SDL体系升级 * 主导多业务线SDL流程优化,推动威胁建模、安全设计评审等环节深度融入CI/CD流水线,实现安全左移 * 设计研发安全度量指标体系,建立代码安全质量、漏洞检出率和时效、安全需求覆盖率等维度的度量能力 2. 工具链运营创新 * 管理SAST/DAST/IAST工具矩阵,通过策略优化和自动化编排实现工具在研发流水线智能调度 * AI辅助研发安全的探索和运用,如漏洞挖掘和修复、安全需求评估等,提升研发安全效能,减少安全摩擦力 3. 研发效能平衡 * 通过业务和技术栈的分层策略,优化研发安全的流程/工具和策略,实现0延迟的发版体验 * 搭建安全能力中台,沉淀通用组件库(如认证鉴权、加密服务SDK) * 开发情景化培训课程体系(含威胁建模、安全编码Workshop) 4. 跨部门协同 * 主导公司研发安全体系运作,协调各业务线落地安全中台、研发安全效能提升等方案 * 建立各业务线安全BP机制,提升业务线安全责任和素养,推动安全与合规工作在业务线的平衡落地
1、统招本科及以上,持续深耕前沿研发安全体系; 2、精通SDL工具链整合,至少主导过两类工具的深度开发和运营; 3、掌握OWASP SAMM/BSIMM成熟度模型,具备搭建和优化研发安全效能的经验; 4、具备技术布道能力,主导大规模研发体系的应用安全实践经验。