创造与守护,奏响网络安全的多重乐章
发布时间:2024-11-19 14:43:46 | 来源:中国网 | 作者: | 责任编辑:孙玥有一群被称为“白帽子黑客”的安全工程师,他们每天都在技术前沿和“破坏者”进行攻防对抗,在背后默默守护着我们的网络安全。金帅就是这样一位白帽子黑客,从企业安全架构构建到前沿安全技术,她多个安全技术领域不断迎难而上,每一次挑战都是带来养料的沃土,每一次突破都是又一个里程碑,她在网络安全事业中不断贡献自己的力量,成为越来越耀眼的一颗星。
专业专注,从工程师到专家
2017年6月,金帅从武汉大学计算机学院毕业,进入搜狐成为一名安全工程师。凭借扎实的计算机基础和专业技能,她迅速在团队中崭露头角,仅工作一个月便成为安全研发的核心成员,开始负责漏洞扫描器的研发。次年,团队发生了变动,刚毕业第二年的金帅凭借出色的表现,成为了安全组组长,承担起整个集团的安全重任。她重新搭建了团队,培养团队骨干,重构了安全运营中心(Security Operations Center, SOC)平台,落地了基于Osquery的主机入侵检测系统(HIDS)、Web应用防火墙(WAF)等安全产品,显著强化公司的安全防护能力,并主导建设基础安全架构,推动网络分段、访问控制、日志审计等关键安全措施的实施。她带领团队连续两年成功通过国家信息安全等级保护评测,为公司赢得了专业领域的高度认可。安全小将,初露锋芒,金帅在早期职业生涯中即展现了非凡的专业能力和才华。
金帅在安全技术沙龙中发言
追求卓越,多领域突破创新
2021年,金帅作为安全专家加入了美团,担任多个安全重点项目的负责人。作为全公司研发安全培训的负责人,她不仅制定安全编码、API访问控制等规范,建立了一套作为安全开发实践的”PlayBook”,还创新性地开发了“Web安全培训实战平台”。该平台通过模拟包括SQL注入、跨站脚本攻击(XSS)、服务端请求伪造(SSRF)、越权、目录遍历攻击等在内的真实攻击场景,使研发人员在实战中掌握安全攻防技术,摒弃了传统枯燥的授课方式。2023年,她又引入了AI数字人授课技术,通过虚拟导师的互动教学,进一步提升培训的趣味性和参与度,始终引领技术创新的潮流。截至目前,公司内接受过安全培训的工程师已超过3万人,每个新入职的工程师都会接受安全培训,这种培训机制长久提升了研发团队的整体安全素质。她通过推动安全开发理念的深入普及,将安全意识融入公司每一位研发人员的日常开发流程中,在软件开发生命周期(SDLC)的早期即显著减少了潜在安全漏洞的产生。
2023年,金帅被任命为安全CICD项目负责人,她面临的最大挑战是如何将安全扫描自动化集成到软件开发生命周期(SDLC)的各个阶段,实现从被动安全到主动安全的转型。在大型互联网企业中,开发流程复杂,涉及多种编程语言和技术栈。凭借对Java、Python、JavaScript、Go等多种编程语言的深刻理解,以及对微服务架构、分布式系统、消息中间件(Kafka、RabbitMQ)、容器化技术(Docker、Kubernetes)、服务网格(Service Mesh,如Istio)、边缘计算、实时计算框架(Apache Flink)、持续集成/持续交付(CI/CD)工具(如Jenkins、GitLab CI/CD)的精通,金帅成功落地了一套高度自动化的安全扫描体系。该体系能够适配多条CICD流水线,确保每次代码提交和集成都经过严格的静态代码分析(SAST)、动态应用安全测试(DAST)、软件成分分析(SCA)等安全检测。她的团队在去年成功在CICD阶段拦截了近4000个安全漏洞,有效降低了服务和应用在生产环境中的风险暴露,显著提高了公司的整体安全水位。
今年,金帅作为越权漏洞检测项目负责人,再一次对业内难题发起了攻坚。越权漏洞因其攻击成本低且危害巨大而备受关注,“失效的访问控制”(Broken Access Control)在2021年OWASP(开放式Web应用程序安全项目)发布的“十大Web应用安全风险”中占据首要位置,可以说是当前Web应用程序面临的最严峻的安全挑战之一。她运用大数据分析、机器学习和深度学习技术,设计并实现了“基于流量分析的越权漏洞识别系统”。该系统通过对海量流量数据的深度学习,对公司的业务场景进行建模,识别关键数据,再结合AI对接口分析和数据分级,联动动态应用安全测试(DAST)进行扫描,攻克了长期以来越权漏洞检出依赖人工运营,缺乏自动化检测能力的难题,极大地提升了越权漏洞内部主动检出率,为公司6亿用户和930万商家的敏感数据和隐私信息提供安全保护。
无声耕耘,回首助女性发展
在职业发展的同时,金帅积极投身于女性事业的支持。她说,“希望女性在工程师事业中大胆前行,多去思考想做什么,而不是适不适合做什么”。通过发帖分享入行和工作经验,她在豆瓣女性科技小组产生了极大共鸣。为帮助更多女性进入科技领域,她在业余时间分享技术经验,免费为毕业生提供就业指导,至今已帮助超过300位女性了解并进入网络安全行业。金帅以实际行动支持和推动女性在技术领域的发展,成为众多女性工程师心中的榜样和领航人。
金帅用自己的专业和热情,一路前行,成为保护互联网公司信息安全的中流砥柱,也守护着女性工程师在科技领域绽放的梦想。(武汉大学 刘文路)