我们正在寻找一位经验丰富的渗透测试员,具备CI/CD管道安全方面的丰富经验,以识别、评估和缓解应用程序、基础设施和自动化部署环境中的安全漏洞。该职位专注于主动安全测试、安全的DevOps实践以及加强系统抵御不断演变的威胁。
主要职责
• 对Web应用程序、API、网络和云环境进行渗透测试。
• 执行CI/CD管道的安全评估,包括构建、测试和部署工作流。
• 识别与源代码库、自动化工具、容器镜像和密钥管理相关的漏洞。
• 测试认证、授权、会话管理和访问控制。
• 评估API安全性,包括令牌处理、速率限制和授权缺陷。
• 在CI/CD流程中执行静态(SAST)、动态(DAST)和依赖性安全测试。
• 验证容器化环境(Docker、Kubernetes)的安全性。
• 模拟真实世界的攻击场景,并记录发现结果,提供明确的补救指导。
• 与开发和DevOps团队合作,实施安全设计实践。
• 在需要时支持事件响应调查和事件后分析。
必备技能和经验
• 2年以上渗透测试、应用程序安全或道德黑客经验。
• 对CI/CD管道和DevSecOps方法论有深入理解。
• 具有保护GitHub Actions、GitLab CI、Jenkins、Azure DevOps或类似工具的实际经验。
• 精通Web和API安全测试(OWASP Top 10,OWASP API Top 10)。
• 具备认证机制(JWT、OAuth2、SSO)经验。
• 了解常见漏洞:SQLi、XSS、CSRF、SSRF、IDOR、RCE、配置错误。
• 熟悉Linux环境、网络概念和云安全基础知识。
工具和技术
• 渗透测试工具:Burp Suite、Metasploit、Nmap、OWASP ZAP、Nikto。
• CI/CD安全工具:Snyk、Trivy、SonarQube、Dependabot、GitGuardian。
• 容器和云安全工具(有经验者优先)。
• 具备Python、Bash或PowerShell脚本知识者优先。
