中国平安
高级信息安全工程师-ssdlc
高级信息安全工程师-ssdlc
发布于 大约 17 小时前普通员工/个人贡献者
深圳市
高级经验
全职员工
仅现场办公
学历未注明
Javascript
DevSecOps
SCA
SAST
DAST
GitLab CI
Owasp Top 10
Fortify
Checkmarx
Ssdlc
AI 估算 · 25k–40k
高级安全岗位,大厂,深圳,薪资具有竞争力,结合技能难度和市场行情。
职位详情
关于这个职位
该职位负责构建和完善公司级安全软件开发生命周期(SSDLC)体系,覆盖从需求到运维的全阶段
你将制定安全编码规范,集成安全实践到DevOps流程,主导安全工具选型和代码审计,并对研发团队进行安全培训
适合有3年以上安全经验、深耕软件安全领域的专业人士
最低要求
年以上信息安全工作经验,至少1年以上专注于软件安全或SSDLC领域
熟悉主流开发语言(如 Java、Python、JavaScript)的安全编码实践
熟悉J2EE 开发架构,熟悉主流web框架
具有JAVA开发经验或JAVA工程安全审核能力(代码审计)
熟悉常见Web安全漏洞原理及防护方案,包括但不限于:SQL注入、XSS、CSRF、SSRF、文件上传漏洞、逻辑漏洞等
熟悉主流安全工具,如:
a) SAST:Checkmarx、Fortify、SonarQube(带安全插件)
b) SCA:Snyk、Black Duck、JFrog Xray
c) DAST:Burp Suite、Acunetix
d) CI/CD集成:Jenkins、GitLab CI、GitHub Actions
具有互联网公司或者金融行业安全从业经历,在安全杂志或者社区发表过优秀文章,有漏洞挖掘经验者优先考虑
有使用AI智能体或工具完成相关工作经验者优先
工作职责
参与构建和完善公司级 安全软件开发生命周期(SSDLC) 流程与体系,覆盖需求、设计、开发、测试、发布、运维等全阶段
制定并推动实施安全编码规范、安全设计指南和常见漏洞防范方案(如 OWASP Top 10)
在敏捷/DevOps开发流程中集成安全实践(DevSecOps),推动自动化安全检测工具链落地
主导或参与代码安全审计(SAST)、软件成分分析(SCA)、交互式应用安全测试(IAST)等安全工具的选型、部署与优化
对研发团队进行安全培训与意识提升,提供安全咨询与技术支持
协同SDL流程负责人,推动安全门禁机制在CI/CD流水线中的落地
优先资格
具有互联网公司或者金融行业安全从业经历,在安全杂志或者社区发表过优秀文章,有漏洞挖掘经验者优先考虑
有使用AI智能体或工具完成相关工作经验者优先
AI 洞察
优缺点分析
- 大厂平台,参与构建高安全标准的金融级SSDLC体系,技术积累深厚
- 接触前沿安全工具和DevSecOps实践,技能提升快
- 跨团队协作机会多,能积累研发与安全管理双重经验
- 金融行业对安全性要求极高,工作压力可能较大
- 需要持续跟进新漏洞和新技术,学习成本高
- 推动安全实践在研发团队落地可能面临协作阻力
- 适合热爱安全技术、有代码功底、希望在大型企业深耕应用安全领域的职业人士
角色解读
- 可向安全架构师或安全团队负责人发展,主导企业级安全体系建设
- 可深入研究特定领域如应用安全、云安全、AI安全,成为细分领域专家
- 有机会参与行业安全标准制定或社区贡献,提升个人影响力
- 构建和完善公司级SSDLC流程,覆盖软件全生命周期安全
- 制定安全编码规范和设计指南,推动研发团队遵循安全最佳实践
- 在DevOps流水线中集成自动化安全检测工具,如SAST、SCA、DAST
- 对研发团队进行安全培训,提供安全咨询,提升整体安全意识
- 精通Java、Python、JavaScript安全编码,具备代码审计能力
- 熟悉主流安全工具(Checkmarx、Fortify、Burp Suite等)和CI/CD工具(Jenkins、GitLab CI)
- 深入理解OWASP Top 10漏洞原理及防护方案
- 具备SSDLC或DevSecOps实践经验,了解金融或互联网行业安全要求
申请策略
- 了解中国平安的业务特点和金融监管要求,面试中体现行业认知
- 准备一个完整的SSDLC落地案例,展示从规划到执行的过程
- 突出SSDLC或DevSecOps相关项目经验,说明你如何主导安全流程建设
- 列举代码审计实例,展示Java/Python安全编码能力
- 强调安全工具使用经验,如Checkmarx、Burp Suite等,并说明选型或优化成果
- 补充AI在安全领域的应用知识,JD优先考虑有AI工具使用经验者
- 熟悉CI/CD流水线安全集成,可自学Jenkins Pipeline安全插件
面试指南
- STAR法则:情境、任务、行动、结果,清晰展示项目经验
- 对比分析:比较不同工具或方法的优劣,体现技术判断力
- 结构化思考:从流程、工具、人员三个维度阐述安全体系建设思路
- 请描述你在SSDLC流程中的具体职责和贡献
- 如何将安全检测工具集成到CI/CD流水线?遇到过哪些挑战?
- 解释OWASP Top 10中某个漏洞的原理及修复方案
- 如何说服开发团队接受安全编码规范?
- 你使用过哪些AI工具辅助安全分析?效果如何?
匹配度报告
65
综合匹配度
大厂安全岗,技术前沿,薪资好,但WLB一般。
适合人群
最适合注重技术成长和职业发展、能接受现场办公和一定工作强度的求职者。
最强匹配
成长发展匹配
最弱匹配
工作生活匹配
薪资福利75
成长发展85
工作生活40
使命价值60
薪资福利匹配
75中等
薪资处于市场较高水平,大厂福利完善,但JD未明确薪资和具体福利,补偿性动机满足程度较好。
薪资信号未披露 (25K-40K/月)
成长发展匹配
85较高
涉及SSDLC、DevSecOps、AI安全等前沿领域,技术栈现代,成长空间大,但JD未明确提及晋升通道。
技术前沿前沿/新兴技术
技术栈SSDLC、DevSecOps、SAST、SCA、DAST、OWASP、Java、Python、JavaScript、Jenkins、GitLab CI、Fortify、Checkmarx
业务类型ambiguous
工作生活匹配
40较低
JD未提及远程办公或弹性工作,大厂通常需现场办公,金融行业可能加班较多,生活化动机满足程度低。
工作模式仅现场办公
办公地点科技园/产业园
加班情况未提及(无法判断)
使命价值匹配
60中等
金融安全岗位对社会有保护用户资产的价值,但JD未强调使命,行业稳定成熟,意义感一般。
行业发展稳定成熟行业
社会影响中性/一般
创新程度积极采用新技术
Watch Jobs