年12月23日上午,总部B座一层报告厅迎来一年一度的第五届金项奖颁奖盛典。
我们之所以称之为“金项奖”,是因为我们把创新研发、科技研发更好的服务于用户服务于业务看的无比的重要。金项奖是京东研发人的荣誉。
此次信息安全部凭借:代码安全管理平台。荣获第五届金项奖技术类二等奖。
项目介绍
“代码安全管理平台“在京东业务上线前对业务源代码进行安全审计,在业务正式对外发布前发现系统中存在的高风险安全漏洞。
白盒代码审计可以从代码层面准确发现隐藏较深的安全漏洞,但是在建立白盒代码审计平台过程中遇到了多个困难,如:源代码分布较为分散,审计团队不得不分别与各个研发团队进行联系来获取相关的上线项目源代码,严重影响代码审计的工作效率;代码库地址与域名及研发负责人不能对应,在发现漏洞后还要人工去找到对应的域名进行测试,并且还要寻找相应的研发负责人去沟通交流,浪费大量时间精力;扫描引擎默认规则扫描效果不理想,需要针对京东的代码特点进行优化。
针对以上几点困难,代码审计团队通过几个月时间的协调和设计,在云平台(JONE、Source等团队)的大力支持下,规划并研发出了“代码安全管理平台“第一期,主要实现从新版JONE系统同步数据,主要包括系统域名、代码库地址、研发人员ERP,并提交扫描任务至扫描引擎进行扫描。扫描引擎使用代码安全审计团队针对京东业务代码特点定制的扫描策略进行扫描,最终形成报告提供给审计人员进行漏洞验证。
成果展示:
这张图显示的是在京东对外系统上发现的高危严重漏洞来源,从平台投入使用开始计算。红色部分漏洞的来源是代码审计平台,蓝色是全部,包括JSRC、内部安全人员黑盒测试成果还有外部情报,可以看到平台产出的高危严重漏洞产出占比是超过1/3的。
这是通过不同方式挖掘出的高危严重漏洞占这种方式发现的所有漏洞的比例,左边是代码审计平台右边是全部数据。可以看到白盒挖掘出的高危严重漏洞比例远高于总体数据的统计值,左边大概1/3,右边大概1/8,这是检测规则设计的策略决定的,检测规则的设计就是更加侧重威胁级别高的漏洞。
祝贺该项目团队的战友们!
京东安全誓言:安全为京东的根基,防护为京东的使命!
好戏总在后面!明年金项奖我们希望有你在!
招人啦!
安全工程师类Leader:领导安全技术团队;多年大型互联网公司安全部门领导经验。
安全攻防研究:最新攻防技术跟踪研究;独立挖掘/分析过多个著名漏洞或者0day。
SDL架构师:在京东各个业务线落地SDL;有在大型互联网公司落地SDL经验。
WAF:必须有相应的网络安全产品开发经验。
移动端:测试移动app的安全性;有多年移动安全测试经验。
威胁情报、感知:情报收集,梳理;情报价值分析。
云安全产品:云架构安全性分析,漏洞研究。
安全审计:Java/php等代码审计;有多年代码审计实战经验。
渗透/扫描:渗透测试线上业务;有多年渗透测试经验。
工程师要求:
1、三年以上安全相关工作经验。
2、熟练掌握常见Web、系统、业务漏洞的原理与防御方法,并可独立发现、修复上述漏洞。
3、熟练掌握一种编程语言,如Java、PHP、Python、C、Javascript等。4、具备较好的沟通、表达能力。
5、具备扫描器开发、PoC编写经验者优先。
6、具有大型电商或互联网公司工作经验者优先。
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上安全相关工作经验。
2、在安全行业具有一定的人脉与影响力。
3、对安全技术、攻防、产品等具有独到见解,并可推动其转化、落地。
4、具备大型电商或互联网企业整体的安全规划与建设经验,或在某一方面有极为深入的研究并具有一定的研究成果。
5、具备较好的沟通表达能力与分享精神。
WEB研发工程师类SDL架构师:良好的安全编码习惯具备安全开发生命周期经验;配合相关团队高效率完成SDL推进工作。
威胁情报、感知:具备威胁感知及情报平台的开发经验;有对两者独到见解和认知从而持续优化平台和产品。
云安全产品:有KVM、Docker、kubernetes等相关项目的开发优化经验的优先;有基于云的安全产品开发及分析的相关经验。
渗透/扫描:熟悉常见web漏洞并有自己的看法,有两年以上前后端语言开发经验。
安全工具/平台:具备一定的渗透测试和独立挖掘漏洞能力;可对多个或者单个漏洞开发对应工具,有两年以上平台开发经验。
工程师要求:
1、三年以上相关工作经验。
2、熟悉B/S开发架构,具有Web前端或后端开发的经验之一。
3、熟悉Javascript或J2EE(JavaBean、servlet)等相关技术。
4、熟悉主流前端(如jQuery、Bootstrap等)或后端(如spring、struts、hibernate、MyBatis、maven等)主流开源框架。
5、熟悉CSS、HTML的DOM结构,可快速制作HTML页面,熟悉常见的浏览器的特点和限制,熟悉W3C相关标准和Web常用协议、图片文件格式等;能解决常见浏览器兼容性问题,熟悉IE、Firefox、Chrome等主流浏览器的常见兼容性问题并有可行的解决办法(仅限前端研发)。
6、熟练使用Eclipse等开发工具,熟悉SQL语言、熟悉MySQL数据库应用开发,熟悉主流nosql数据库,如Hbase、MongoDB等(仅限后端研发)。7、具有较强的学习、钻研、解决问题与沟通能力、较高的工作主动性、富于团队协作。
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上相关工作经验。
2、至少两个以上安全类项目经验。
3、具备一定的渗透测试能力。
4、对安全漏洞或安全编码有一定研究。
5、具备较好的技术钻研与分享精神。
UI/UE工程师类移动端;威胁情报、感知;云安全产品;安全审计;渗透/扫描;安全工具/平台:
能把多样化的需求做提炼融入设计的产品中,有对应领域的设计经验者更佳。
工程师要求:
1、三年以上相关工作经验。
2、了解主流UI设计或用户体验规范及流程。
3、熟练操作相关工具,如:Photoshop、Illustrator、sketch、Axure、Balsamiq、PencilProject等。
4、良好的沟通表达能力与团队协作意识。
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上相关工作经验。
2、熟悉基本UI/UE理论,对产品流程、用户操作流程、及用户需求有较好的理解。
3、至少两个安全类产品UI/UE工作经验。
项目/产品经理类SDL架构师:
具备SDL项目或类似产品的跟进及推动经验。
移动端;威胁情报、感知;云安全产品;安全审计;渗透/扫描;安全工具/平台:
具备对应领域的项目和产品管理经验,有编码或者安全经验者更佳。
工程师要求:
1、三年以上相关工作经验。
2、能够及时发现并跟踪解决项目或生产管理中的问题。
3、具有良好的执行力和责任心,能推动项目团队朝目标高效前进。
4、具有丰富的与人沟通、交流和组织能力,出色的团队合作精神。
5、具备优秀的沟通能力、推动协调能力、文字表达能力等。
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上相关工作经验。
2、至少两个大型互联网相关项目或安全类产品管理经验。
系统研发工程师类风控:
平台研发,引擎研发工作,性能优化。
有风控相关经验为佳。
安全大数据:
系统架构开发,数据传输,存储等。大规模数据分析平台研发经验或安全行业分析系统研发经验。
数据安全:
分析数据安全风险,提供改进模型。有数据安全防护经验为佳。
WAF:
系统架构研发,高性能存储,查询,数据库。最好有网关类,WAF类产品研发经验。
威胁情报、感知:
基础平台研发,包含存储,高性能接口,逻辑处理。
云安全产品:
云平台研发经验。有云安全产品研发经验为佳。
工程师要求:
1、三年以上相关工作经验。
2、丰富的跨平台C/C++或JAVA开发。3、熟悉脚本语言开发(Python,Perl或Shell等)。
4、丰富的系统和网络编程经验(multi-threading,socket,TCP/IP,HTTP等)。
5、出色的问题解决,系统排错(troubleshooting)和调试技能.
6、有激情和责任心,良好的对外沟通和团队协作能力.
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上相关工作经验。
2、具备一定的产品架构和设计经验。
3、具备一定的WEB网关代理、安全引擎、WAF引擎或反病毒引擎研发经验。
4、熟悉大数据平台(Hadoop、Spark、ElasticSearch、Kibana等)。
安全研发工程师类风控:
研究分析事件案例,改进风控流程。需求风控,欺诈,泄漏类经验。
安全大数据:
分析数据关联性,给大数据分析提供安全模型,筛选指标,标签等。
数据安全:
分析数据安全风险,提供改进模型。有数据安全防护经验为佳。
WAF:
分析未知攻击,识别攻击,提升检测能力。最好有应用安全类研究。
威胁情报、感知:
分析风险事件,提供检测模型。有情报收集能力为佳。
云安全产品:
研究云基础架构安全,研究常规安全在云上的运用。有云产品实际攻防经验为佳。
安全工具/平台:
具备一定的渗透测试和独立挖掘漏洞能力;可对多个或者单个漏洞开发对应工具,有两年以上安全平台开发经验。
工程师要求:
1、三年以上相关工作经验。
2、丰富的逆向工程、病毒分析或漏洞分析经验。
3、熟悉恶意代码检测和应用安全技术。
4、扎实的编程能力(例如C/C++、JAVA、脚本语言等)。
5、熟悉网络协议(例如TCP/IP,HTTP,HTTPS,DNS等)。
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上相关工作经验。
2、具有WAF、反DDOS、APT检查、大数据安全等研究和开发经验之一。3、具有数据挖掘(DataMining)和模式识别(PatternMatching)经验之一。
大数据平台/算法工程师类风控:
研究风控领域机器学习算法的实际应用。有风控类产品,大数据实际应用经验为佳。
安全大数据:
海量日志分析算法,算法模型的搭建,算法的选择。
数据安全:
敏感数据保护,出入集市海量日志分析。有海量日志分析经验为佳。
WAF:
运用机器学习的知识,分析,关联攻击特征,识别攻击。
威胁情报、感知:
情报领域的数据关联分析,情报比对,分类,聚类分析。
工程师要求:
1、三年以上相关工作经验(机器学习、自然语言处理、模式识别等)。
2、至少三个成功地应用以上算法到实际产品中的经验。
3、熟悉Linux开发,以及脚本语言经验(Python,Perl,Shell,awk等)。
4、较强的复杂问题分析和解决能力。
5、有激情和责任心,良好的对外沟通和团队协作能力。
高级工程师要求(除满足初级要求外,还应满足以下要求):
1、八年以上相关工作经验(机器学习、自然语言处理、模式识别等)。
2、具有一定的安全产品研究和开发经验,特别是反欺诈、风控系统或大数据安全经验。
3、熟悉大数据平台(Hadoop、Spark、ElasticSearch、Kibana等)。
市场运营类工程师要求:
1、三年以上相关工作经验。
2、良好的团队意识和沟通能力。
3、具有安全行业记者、文案经验。