技能要求:
经验要求:
5-10年经验
工作描述:
项目编号:【43751】
岗位名称:代码审计开发工程师(要求西安驻场)
岗位职责
1. 搭建企业级代码安全审计 Web 平台,对接自研 SAST 扫描引擎,实现项目管理、扫描任务调度、漏洞管理、报表导出核心能力。
2. 开发分布式扫描集群服务,基于 Go+Redis 队列实现多任务并发、负载均衡、失败重试、增量任务分发。
3. 对接 GitLab/Gitee/GitHub OpenAPI、libgit2,实现代码拉取、分支管理、变更文件增量提取;集成 Jenkins、GitLab CI、GitHub Action 流水线。
4. 开发 SCA 组件漏洞扫描模块,解析 Maven/NPM/Pip/Go.mod 依赖文件,对接 NVD/CNVD 漏洞库识别第三方组件风险。
5. 设计 MySQL/ES/Redis 存储架构,实现漏洞检索、污点链路存储、扫描日志持久化;提供 REST/gRPC 接口供前端、工单系统调用。
6. 实现企业权限体系(RBAC 多租户、组织 / 项目隔离、SSO 单点登录)、批量误报标记、漏洞修复跟踪、PDF/HTML 审计报告生成。
7. 对接内部缺陷工单、运维监控系统(Prometheus+Grafana),完善扫描任务监控、告警、日志分析能力。
任职要求:
1. 本科及以上计算机 / 网安相关专业,3 年以上 Go 后端开发经验,有安全平台 / DevSecOps 平台开发经验。2. 熟悉微服务、异步任务队列、MySQL 索引优化、Elasticsearch 检索、Redis 缓存设计。
3. 了解 SAST 基础原理、AST、污点分析,使用过 Semgrep/Fortify/SonarQube 等代码审计工具;懂 Web 安全漏洞基础。
4. 熟悉 Git 底层操作、CI/CD 流程,有流水线安全门禁落地经验;了解 SCA 组件扫描逻辑。
5. 熟悉 Docker/K8s 容器化部署,能独立完成服务打包、集群部署维护。
6. 加分项:有 SAST 引擎对接开发、分布式扫描集群落地、大厂 SDL 平台建设经验。