工作职责 1. 全生命周期安全防护 - 负责云端(司空)、桌面端(Terra、modify)、移动端(Pilot)的产品安全设计、覆盖开发、测试、部署、运维全流程
- 主导威胁建模(覆盖输入输出、身份认证、数据保护等),制定各终端安全策略(如容器安全,逆向防护、运行时保护)
2. 安全工程落地 - 建立并推行研发安全规范,进行产品漏洞管理,并牵引业务团队修复漏洞
- 设计安全测试用例(渗透测试、模糊测试),沉淀工具并赋能测试团队
- 实施客户端防护方案(代码混淆/反调试/完整性校验)及服务端防护(API安全/WAF)
3. 数据保护与合规 - 确保数据安全(传输加密/静态加密/脱敏)与隐私合规
- 构建审计能力(日志安全、访问控制)满足全球合规要求
4. 防御体系与运营 - 与公司产品安全体系协作,构建分层的安全管理机制
- 根据产品特性建立线上威胁防护机制(反黑产/灰产)
- 跟踪OWASP Top 10/漏洞趋势,主导修复方案落地