职位概述负责推进Web3交易所安全开发生命周期（SDL）的全面实施，作为安全业务合作伙伴（BP）深度融入产品、研发与运营团队，保障安全策略与业务发展同步推进。需同时应对传统网络安全威胁（如公网暴露、钓鱼攻击、供应链污染）以及Web3领域特有风险（如智能合约缺陷、跨链交互隐患、私钥安全管理）。核心职责 1、SDL流程构建与持续优化制定并落地覆盖软件全周期的安全开发标准，涵盖安全需求定义、威胁建模分析、代码审查、渗透测试及发布前安全评估等环节。将自动化安全工具（SAST/DAST/IAST/SCA）嵌入CI/CD流水线，提高漏洞发现与修复的自动化水平。建立可量化的安全指标体系（如漏洞闭环率、扫描覆盖度），定期输出安全健康状态报告。 2、安全BP职能与协同推进作为安全对接负责人，深入参与核心业务单元（如交易系统、钱包服务、跨链桥模块），提供安全架构设计、风险评估及突发事件响应支持。推动业务团队执行安全规范，包括第三方组件管控、云环境配置合规性、用户隐私数据保护等措施。策划并开展安全培训课程与实战攻防演练，增强研发人员的安全认知与应急处置能力。 3、重点领域安全治理围绕智能合约、跨链通道、数字钱包等关键系统，构建审计机制与实时监控能力，防范重入攻击、价格操控等典型风险。主导公网暴露面收敛工作（如域名劫持防护、API接口越权访问整治），建设反钓鱼防御体系（如部署DMARC/SPF策略、品牌侵权监测）。推动安全架构升级，完善密钥管理体系、权限控制机制与身份认证流程。任职要求必备条件 3年以上应用安全或安全开发经验，其中至少2年专注于Web3/区块链相关项目。熟练掌握SDL实施方法论，具备威胁建模、源码审计、渗透测试的实际操作能力。具备优秀的跨部门沟通协调能力，能有效推动安全要求在高优先级业务场景中的落地执行。优先考虑拥有金融系统、交易平台或DeFi生态安全体系建设经验者优先。熟悉Web3技术生态（如Solidity、Rust、Web3.js），了解常见攻击手段（如闪电贷、跨链桥欺诈）及其防御机制。持有CISSP、CISM、OSCP等专业安全资质认证。了解主流合规框架（如ISO27001、NIST）及安全工具链（如SAST、SCA）的应用实践

职位亮点

招聘人数1-2人

薪资报酬2.5-5万元/月

招聘有效期职位26天内有效

工作地点北京朝阳区上东公园里4f

核心工作内容：

1、SDL流程构建与持续优化：制定并落地覆盖软件全周期的安全开发标准，涵盖安全需求定义、威胁建模分析、代码审查、渗透测试及发布前安全评估等环节。将自动化安全工具（SAST/DAST/IAST/SCA）嵌入CI/CD流水线，提高漏洞发现与修复的自动化水平。建立可量化的安全指标体系（如漏洞闭环率、扫描覆盖度），定期输出安全健康状态报告。2、安全BP职能与协同推进：作为安全对接负责人，深入参与核心业务单元（如交易系统、钱包服务、跨链桥模块），提供安全架构设计、风险评估及突发事件响应支持。推动业务团队执行安全规范，包括第三方组件管控、云环境配置合规性、用户隐私数据保护等措施。策划并开展安全培训课程与实战攻防演练，增强研发人员的安全认知与应急处置能力。3、重点领域安全治理：围绕智能合约、跨链通道、数字钱包等关键系统，构建审计机制与实时监控能力，防范重入攻击、价格操控等典型风险。主导公网暴露面收敛工作（如域名劫持防护、API接口越权访问整治），建设反钓鱼防御体系（如部署DMARC/SPF策略、品牌侵权监测）。推动安全架构升级，完善密钥管理体系、权限控制机制与身份认证流程。

岗位基本条件：

必备条件：3年以上应用安全或安全开发经验，其中至少2年专注于Web3/区块链相关项目。熟练掌握SDL实施方法论，具备威胁建模、源码审计、渗透测试的实际操作能力。具备优秀的跨部门沟通协调能力，能有效推动安全要求在高优先级业务场景中的落地执行。优先考虑：拥有金融系统、交易平台或DeFi生态安全体系建设经验者优先。熟悉Web3技术生态（如Solidity、Rust、Web3.js），了解常见攻击手段（如闪电贷、跨链桥欺诈）及其防御机制。持有CISSP、CISM、OSCP等专业安全资质认证。了解主流合规框架（如ISO27001、NIST）及安全工具链（如SAST、SCA）的应用实践