開源及三方件治理：負(fù)責(zé)開源組件和第三方軟件的全生命周期管理，包括選型評估、漏洞閉環(huán)管理、版本歸一化及生命周期配套。
漏洞管理能力構(gòu)建：參與建立漏洞E2E管理機(jī)制，覆蓋漏洞感知、評估、修補(bǔ)、驗(yàn)證及披露全流程，確保修補(bǔ)過程可舉證。
工具鏈集成與自動(dòng)化：推動(dòng)開源治理工具（如OSTMS、CodeArts Governance）與CI/CD流水線集成，實(shí)現(xiàn)安全左移和自動(dòng)化管控。
端到端可追溯體系建設(shè)：完成軟件信息樹（SwBOM）的落地，實(shí)現(xiàn)從漏洞到最小引入單元（開源/三方件/自研代碼）的精準(zhǔn)追溯。
建設(shè)公司內(nèi)部可信度量看板：實(shí)現(xiàn)開源組件漏洞、代碼質(zhì)量、構(gòu)建合規(guī)等關(guān)鍵指標(biāo)的實(shí)時(shí)可視化監(jiān)控。
可信編碼實(shí)踐推廣：研究并引進(jìn)業(yè)界Clean Code、安全編碼等優(yōu)秀實(shí)踐，推動(dòng)在公司內(nèi)落地，提升產(chǎn)品軟件工程能力

任職要求：

1. 經(jīng)驗(yàn)與技能
精通至少一門主流編程語言（/Java/Python）和微服務(wù)框架，具備3年以上編碼經(jīng)驗(yàn)。
熟悉開源及第三方軟件管理流程，有實(shí)際選型、漏洞修復(fù)或生命周期管理經(jīng)驗(yàn)
掌握軟件成分分析（CloudSCASCA）工具使用，能通過軟件信息樹（設(shè)計(jì)樹/結(jié)果樹）實(shí)現(xiàn)漏洞精準(zhǔn)追溯
通過Committer機(jī)制推動(dòng)代碼質(zhì)量和開源治理規(guī)范落地
了解端到端追溯體系設(shè)計(jì)
2. 工程能力
具備軟件供應(yīng)鏈安全知識，熟悉開源許可證合規(guī)、漏洞閉環(huán)管理及供應(yīng)鏈攻擊防護(hù)
熟悉DevSecOps實(shí)踐，能通過自動(dòng)化工具（如CI/CD門禁）實(shí)現(xiàn)漏洞和質(zhì)量管控
掌握構(gòu)建工程和依賴管理，能通過構(gòu)建系統(tǒng)生成精準(zhǔn)SwBOM并保障成分透明、

3. 加分項(xiàng)
有大型項(xiàng)目開源治理或軟件供應(yīng)鏈安全建設(shè)經(jīng)驗(yàn)；
熟悉開源中心倉（如OSTMS）或SwBOM生成工具；