我们正在寻找一名经验丰富的渗透测试员,具备CI/CD管道安全方面的丰富经验,能够识别、评估和缓解应用程序、基础设施和自动化部署环境中的安全漏洞。该角色专注于主动安全测试、安全的DevOps实践以及增强系统抵御不断演变的威胁。
主要职责
对Web应用程序、API、网络和云环境进行渗透测试。
对CI/CD管道进行安全评估,包括构建、测试和部署工作流程。
识别与源代码库、自动化工具、容器镜像和密钥管理相关的漏洞。
测试身份验证、授权、会话管理和访问控制。
评估API安全性,包括令牌处理、速率限制和授权缺陷。
在CI/CD流程中执行静态(SAST)、动态(DAST)和依赖性安全测试。
验证容器化环境(Docker、Kubernetes)的安全性。
模拟真实攻击场景,并记录发现结果,提供明确的修复指导。
与开发和DevOps团队合作,实施安全设计实践。
在需要时支持事件响应调查和事后分析。
所需技能和经验
2年以上渗透测试、应用程序安全或道德黑客经验。
对CI/CD管道和DevSecOps方法有深入理解。
具有保护GitHub Actions、GitLab CI、Jenkins、Azure DevOps或类似工具的实践经验。
熟练进行Web和API安全测试(OWASP Top 10,OWASP API Top 10)。
具备身份验证机制(JWT、OAuth2、SSO)经验。
了解常见漏洞:SQL注入、XSS、CSRF、SSRF、IDOR、RCE、配置错误。
熟悉Linux环境、网络概念和云安全基础。
工具和技术
渗透测试工具:Burp Suite、Metasploit、Nmap、OWASP ZAP、Nikto。
CI/CD安全工具:Snyk、Trivy、SonarQube、Dependabot、GitGuardian。
容器和云安全工具(有经验者优先)。
具备Python、Bash或PowerShell脚本知识者优先。
