1. 软件供应链安全体系建设与治理
全生命周期管理: 负责集团软件供应链安全(SSCS)体系的顶层设计与演进,主导第三方开源组件以及公司内部二方包从引入、开发、构建到发布的全流程安全管控策略。
依赖治理与 SBOM: 建立精细化的组件依赖分析机制,深度运营 SCA(软件成分分析)相关平台,推动 SBOM(软件物料清单)的标准化落地,实现应用资产与组件依赖的透明化与可追溯。
风险指标管控: 设定并对供应链风险可控率(SCRR)等关键安全指标负责,推动研发团队降低高危组件的存量与增量风险,建立阻断与准入机制。
2. DevSecOps 安全左移与工具链赋能
安全流程嵌入: 深度参与 DevSecOps 流程建设,推动安全能力(如依赖扫描、镜像签名、制品完整性校验)在编码阶段、CI/CD 流水线阶段的自动化集成,实现“安全左移”。
平台规划与运营: 负责软件供应链安全相关工具平台的功能规划与运营优化,提升工具在研发侧的覆盖率、准确率与易用性,降低安全措施对业务交付的摩擦。
3. 安全标准化建设与跨部门协同
体系化流程构建: 负责应用安全领域的标准作业程序(SOP)制定、评审与持续迭代,确保供应链安全治理工作有章可循、合规高效。
跨团队拉通:负责连接基础架构、运维及各业务线研发部门,协调解决跨团队的技术卡点与流程问题,推动安全方案在业务侧的有效落地。
1. 专业经验
全日制本科及以上学历,计算机、网络安全等相关专业。
5年以上 互联网大厂或大型企业应用安全从业经验,具备完整的 SDL 或 DevSecOps 体系建设与运营经验。
必须具备 扎实的软件供应链安全(Supply Chain Security)治理经验,有主导过大型开源组件治理、制品库安全或 SBOM 落地项目者优先。
2. 技术能力
供应链安全专家: 精通 SCA 技术原理,熟悉 Maven/Gradle/NPM/Go Mod 等主流包管理机制,熟练掌握业界主流 SCA 工具(如 BlackDuck、Snyk、Xray 等)的集成与策略配置。
开发与自动化能力: 具备良好的研发能力,能够通过编写脚本或工具(Python/Go/Java)解决安全运营中的自动化问题,熟悉 CI/CD 工具链(如 GitLab CI, Jenkins 等)。
架构理解: 熟悉微服务架构、容器化技术(Docker/K8s)及其安全风险,能够从架构层面设计安全解决方案。
3. 综合素质
架构思维与规划力: 具备从单点技术向体系化管理转型的视野,能够制定清晰的安全治理路线图。
卓越的沟通推动力: 具备极强的跨部门沟通协调能力,能够以解决问题为导向(Solution-oriented),在业务交付与安全风险之间找到平衡点,有效推动复杂项目落地。
严谨的流程意识: 具备良好的文档编写习惯和流程规范意识,能够制定并维护高质量的技术标准与管理规范。
加分项 (Preferred Qualifications)
1、AI 安全实践经验: 熟悉 LLM 应用安全风险(OWASP Top 10 for LLM),有 AI 辅助安全编码(如利用 AI Agent 进行代码分析)、AI 供应链投毒检测或 AI 安全治理相关实践经验者优先。
2、持有 CISSP、CISA、CCSP 等国际安全认证。
3、具备大型跨境电商或跨国企业的安全治理背景。
4、具备良好的英语读写能力,能够适应全球化团队的协作环境。
