部门简介:我们是阿里安全部基础安全部门,负责阿里全经济体的SDL,向其他BU提供黑盒、白盒和供应链扫描能力,保障全集团应用和代码安全。
有意者咨询wx:7908300
面向学生范围:
- 校招实习生,限 22 届毕业的学生
- 研究型实习生,不限毕业时间,参与实验室相关项目研究及论文发表为主
岗位职责
参与SDL建设,包括黑盒、白盒或供应链扫描方向
- 白盒方向
- 程序分析技术研究,了解学术和工业界前沿技术成果(例如:指针分析、符号执行或机器学习等),实现并思考落地方案;
- 运营白盒扫描规则,对阿里经济体的产品、业务和系统进行漏洞扫描
- 参与 Benchmark 样本建设,从规则丰富度和引擎能力两方面评测白盒扫描器
- 供应链方向
- 0day漏洞挖掘;
- 跟踪业界动态,对1day漏洞事件进行复现,并设计检测、修复方案;
- 端到端的供应链安全组件重打包检测技术预研,含成分分析,组件与函数相似特征提取,自动生成可验证POC/Exploit。
- 黑盒方向
- 运营黑盒扫描规则,对阿里经济体的产品、业务和系统进行漏洞扫描;
- IAST系统建设,通过黑盒扫描和iast联动发现更多扫描漏洞。
- 流量检测方向
- 运营web实时流量扫描规则,对阿里经济体的产品、业务和系统进行漏洞扫描,内容安全分析。
- 前沿安全预研及研究课题联合实验室
- 对前沿编程模式(如低代码平台及编排平台)安全检测方案预研,产出支持多语言/低代码/无代码的统一静态应用安全分析框架。
- 自动patch补丁推荐:大数据计算推荐自适应研发当前漏洞代码片段的生成修复后安全的代码片段(供应链类、技术漏洞均可)
- 程序分析方向:大规模漏洞挖掘检测技术,辅助漏洞挖掘研究,相关工具原型研发。
- 基于AI及大数据的智能程序分析技术。
- 基础软硬件安全研究:参与相关基础软硬件漏洞挖掘与利用研究,比如浏览器、操作系统、虚拟化、数据库、智能设备等。
实习岗位要求:
- 计算机基础扎实,有专研精神,能保证2个月以上实习时间
- 对软件安全、程序分析、黑盒扫描有浓厚兴趣
- 能够熟练使用一种编程语言,或一种脚本语言
- 有Web或二进制安全基础,了解各种类型安全漏洞原因及其修复方案
- 加分项
- CTF参赛经历
- 漏洞挖掘经验(SRC、CVE等)
- 有安全工具的开发经验(黑盒、白盒、Fuzz等)
- 文档阅读和撰写能力(包括但不限于:安全技术文档、中英文paper等)
- 安全相关学术研究成果(专利、论文等)
- 有RASP / IAST / DAST / SAST 技术实现经验
- 熟悉Java和JVM虚拟机
在这里,你能学到
- 阿里安全SDL的最佳实践和经验
- 接触真实安全事件,学习处理方式和解决经验
- 了解当今一线安全产品,理解其内部技术实现并了解其优劣
- 安全领域多年经验专家1V1师兄师姐指导,快速答疑解惑
工作地点
- 杭州