参与以下其中一项工作

1.负责安全扫描工具的开发与实施：如SCA、灰盒扫描器、白盒扫描器、IDE插件等工具的设计与落地，优化扫描准确率与覆盖范围；

2.负责安全防护工具的部署与改进：如企业内部RASP、WAF等防御机制的应用与创新，协助业务团队提高基础安全防护水平；

3.负责阿里云系统安全产品、虚拟化安全方案及硬件固件安全能力的研发与建设；

4.跟踪分析最新公开漏洞，开展应急响应，制定通用修复策略与缓解措施，为云产品提供技术支持与解决方案。

职位要求
1.掌握WEB/系统常见安全漏洞的成因、检测方式、利用原理及修复方法；

2.具备基础开发能力与SQL技能，能通过脚本实现告警处理、扫描任务等日常工作的自动化运营；

3.具备良好的沟通协作意识，能够有效推进安全方案的实施与落地；

4.满足以下任一条件即可：

a.熟悉主流风险识别与防护工具的工作原理，如黑白灰盒扫描器、WAF、RASP、SCA等；

b.熟悉C语言与Linux环境，具备扎实的操作系统知识和基础算法理解；

c.了解常用云产品与云服务的使用场景及其典型安全问题；

d.具备Java或Go语言的代码审计能力，可独立完成企业级Web应用的代码审查，有实际漏洞发现经验。

优先考虑

1.有云服务商、大型企业或云原生场景下SDL实践经历；

2.参与过黑白灰盒扫描器、WAF、RASP、SCA类工具的开发；

3.了解深度学习，具备LLM微调、对齐或Agent开发经验；

4.在安全竞赛中取得成绩、发表过安全会议成果，或维护高质量GitHub开源项目；

5.具备系统安全、攻防对抗相关背景；

6.有操作系统模块、驱动、虚拟化技术、SGX、SEV、可信计算等领域开发经验；

7.曾在主流SRC平台提交漏洞、在知名技术社区发表文章，或参与护网行动并具备实战经验者优先；

8.熟悉云计算IaaS安全架构、AI安全、大模型安全以及移动端（Android、iOS）安全领域。