DevSecOps工程师

负责将安全嵌入软件开发生命周期的每个阶段。该职位需要具备应用安全、安全编码实践和DevSecOps方法论的深厚经验，同时具备软件开发流程和基础基础设施和操作系统知识。关键职责包括与开发者、产品负责人和敏捷团队建立强关系，执行应用安全控制的测试和验证，实施和增强防御性安全实践，支持和执行CI/CD安全策略，应用SAST、SCA、DAST和基础设施即代码（IaC）扫描工具和方法，识别漏洞并通过自动化扫描和手动代码审查驱动修复，应用威胁建模技术加强应用设计并降低风险，以及开发和改进工具和服务以帮助开发者高效采用安全最佳实践。

学士学位（金融、会计、商业、计算机科学或相关领域），7年以上信息技术、信息安全管理或安全运维经验，熟悉敏捷环境（Scrum和Kanban方法论），具备容器技术（如Docker）和容器编排平台（如Kubernetes、Docker Swarm）经验，熟悉基础设施自动化和配置工具（如CloudFormation、Terraform、Ansible、Jenkins），具备安全Windows和Unix/Linux操作系统、终端应用、网络协议及相关基础设施组件的经验，具备Python、Bash、Perl或PowerShell等脚本经验，熟悉应用安全原则和框架（如OWASP Top 10、CVSS评分、MITRE ATT&CK）和软件开发生命周期（SDLC）。