主导android系统、windows平台及算法模块的安全架构设计评审,识别潜在漏洞与风险点(如权限管理、数据加密、通信协议等). 对硬件设计方案、软件代码实现进行威胁建模(threat modeling) 并提供加固建议. 审核项目中的开源组件许可证合规性(如gpl、apache、mit等),确保符合企业政策. 识别代码中高风险的许可要求,识别风险并与研发同事确认. 跨团队协作 与开发、法务、运维团队协同推进安全整改,将审查结果转化为可落地的解决方案,最终获取ssrb/osc的approve. 文档与流程管理 编写安全审查报告、合规指南,推动安全审核流程(software security review board - ssrb)优化. 产品安全设计审查报告以及配合审计部门完成审核流程 完善团队的审核流程,产出相应的spec和支持odm项目安全落地

熟悉软件构架图、流程图工具. 熟悉confluence、jira等devops系统的使用. 开源合规审查 硬性要求 技术背景: 3年以上软件开发/安全领域经验,了解android系统安全机制(selinux、tz、secureboot、avb等)或windows安全架构(认证、访问控制、加密体系). 具备算法安全评估能力(如隐私计算、加密算法、ai模型安全性). 熟练使用开源扫描工具(black duck、dmsca、fossa、fossology等)及漏洞数据库(cve/nvd). 沟通能力: 英语流利(可独立撰写英文报告、主持跨国会议),能清晰传递技术风险与合规要求. 持有安全认证(cissp、cisp、oscp等). 有开源基金会合规项目(如spdx、openchain)实操经验. 熟悉国际安全标准(iso 27001、nist csf).