统筹数字商业生态下电商、本地生活、社区团购多业务线APP的安全开发与防护，制定集团级APP安全标准，推动安全能力与业务增长协同，支撑年GMV超千亿平台的安全稳定运行

• 制定集团APP安全开发标准与全流程管控机制，覆盖Android/iOS逆向防护、数据加密、反作弊、合规性四大核心领域；要求所有新上线APP强制集成“设备指纹混淆算法”（IMEI哈希+屏幕动态熵值）、“支付链路签名校验中间件”及“隐私合规检测SDK”，并通过Jenkins集成OWASP ZAP、MobSF等工具实现“安全左移”，将新APP上线前高危漏洞率从25%压降至8%，覆盖集团8条业务线20+款APP
• 主导研发“跨APP安全威胁情报共享平台”，整合电商“薅羊毛”、本地生活“虚假点评”、社区团购“新人红包外挂”等多场景黑产数据，基于Elasticsearch构建威胁情报库并接入实时预警规则；上线后社区团购APP通过共享情报提前拦截针对“拉新裂变”的外挂攻击，避免直接经济损失约80万元，该平台被集团评为“年度安全创新项目”
• 解决复杂业务场景下“安全与体验平衡”难题：针对社区团购APP“快速下单”核心流程，优化反外挂策略——将“行为时序校验”从“实时拦截”调整为“异步分析+关键节点（提交订单）实时校验”，同时保留设备可信度评分模型；既将下单延迟从200ms降至50ms保障用户体验，又将外挂拦截率维持在92%以上，获业务团队书面致谢
• 搭建集团APP安全人才培养体系：通过“每周黑产攻防分享会”（覆盖Android逆向新漏洞、iOS越狱检测绕过技巧）、“项目复盘工作坊”（拆解10+起重大安全事件应对过程），培养3名高级安全开发工程师、1名安全架构师；团队输出《APP安全开发实践手册》，成为集团新员工安全培训核心教材

负责本地生活APP全生命周期安全开发，聚焦反作弊、iOS端深度防护及数据合规落地，支撑业务从“流量扩张”向“安全合规”转型

• 核心参与iOS端反作弊系统搭建：针对“商家刷好评”“虚假点评”黑产，使用Hopper Disassembler逆向分析点评提交模块逻辑，发现“绕过客户端校验直接调用接口”漏洞；通过实现“设备可信度评分模型”（结合设备指纹、网络环境、操作行为特征）与“点评内容语义分析引擎”（接入阿里云NLP识别模板化文本），将虚假点评率从15%降至5%，商家端投诉量减少30%，相关方案被写入《iOS端反作弊最佳实践》
• 主导优化安全工具链：针对“APP逆向分析效率低”痛点，基于Frida框架开发“自动化逆向检测脚本”，可快速识别APP是否被Hook、内存数据是否被篡改；该工具纳入公司安全测试SOP，将单APP逆向分析时间从4小时缩短至1.5小时，提升安全测试迭代效率60%
• 推动数据安全合规落地：针对《数据安全法》要求，开发“敏感数据脱敏SDK”支持手机号、身份证号“部分隐藏+AES-256加密存储”（密钥轮换周期7天）；在APP登录流程中加入“数据使用授权弹窗”，明确告知用户数据采集范围与用途；上线后通过工信部数据安全合规检查，获“集团数据合规优秀案例”称号
• 解决iOS越狱设备安全风险：通过“越狱状态实时检测”（监控Cydia进程、系统文件修改）与“功能灰度控制”（越狱设备禁用支付、密码修改等敏感功能）组合策略，将越狱设备的敏感操作占比从8%降至1%，该方案被集团安全委员会推广至所有iOS端APP

负责电商APP（小楷零售）Android/iOS端安全开发，覆盖反外挂、支付安全、隐私合规及安全SDK迭代，联动业务团队解决黑产攻击风险

• 主导设计电商APP反外挂体系：针对“薅羊毛”“虚假刷单”黑产，使用Jadx、IDA Pro逆向分析黑产工具调用链，定位“模拟点击”“内存篡改”两类核心攻击路径；通过实现“设备指纹混淆算法”与“行为时序校验引擎”（基于LightGBM模型识别异常操作频率），将外挂拦截率从68%提升至92%，季度内减少黑产刷单损失约120万元
• 负责支付链路安全加固：针对“中间人攻击”“重放攻击”风险，采用TLS 1.3协议升级+双向证书绑定方案，结合自研“支付参数签名校验中间件”（覆盖订单ID、金额、用户ID哈希链验证），解决“支付请求被篡改”漏洞；经OWASP ZAP扫描，支付模块高危漏洞清零，第三方渗透测试评分从7.2提升至9.5
• 开发迭代APP安全SDK：集成“动态权限监控”（基于Android X Permission+自定义Hook）、“隐私政策合规检测”功能，当APP申请敏感权限时触发二次确认弹窗，同时上报权限使用日志至安全后台；上线后用户隐私投诉率下降45%，完全符合《个人信息保护法》要求
• 配合处理账号被盗事件：通过iOS越狱检测（Cydia Substrate监控）与“登录态双因子验证”（短信+设备绑定令牌）组合方案，将账号被盗后资金损失率从18%降至3%；输出《iOS账号安全防护实践》文档，覆盖团队15名安全工程师，成为新人培训必学材料

电商平台全链路交易风险防控系统重构与智能化升级

• 星途作为头部社交电商平台，2021年起交易欺诈率同比上升37%，原有系统基于分散规则引擎，存在跨渠道团伙作案识别盲区、误报率18%、大促期间响应延迟超500ms等痛点。我主导系统从需求分析到落地的全生命周期，负责架构设计、核心模块开发及跨数据/算法/业务团队的协调。
• 面临三大挑战：一是多源异构数据整合（需关联交易、用户行为、设备指纹、第三方征信等8类实时数据，格式差异大）；二是高并发下低延迟检测（支撑大促10万TPS峰值）；三是AI模型需平衡准确率与业务适配性（避免过度拦截影响用户体验）。技术上选择Apache Flink构建实时数据中台，解决数据流关联问题；采用“规则+机器学习+图计算”三层架构应对复杂风险。
• 主导定义标准化事件模型整合8类数据，优化Drools规则引擎支持动态加载（规则更新停机时间从4小时缩短至10分钟）；针对刷单、盗号、薅羊毛场景训练5个XGBoost专项模型，结合Neo4j图计算构建用户-设备-订单关系图谱识别团伙风险；通过Redis缓存高频风险画像、Kafka削峰填谷，优化系统性能。
• 系统上线后，风险检测准确率从72%提升至91%，误报率降至5%，实时延迟降至80ms，支撑大促10万TPS峰值；年减少欺诈损失约1200万元，业务投诉率下降65%；获公司“年度技术创新奖”，已推广至金融业务线覆盖支付、信贷场景，成为集团级风险防控底座。

金融支付系统漏洞自动化检测平台研发

• 云盾为中小金融机构提供支付系统解决方案，原人工检测效率低（单系统需3天）、遗漏新型漏洞（如API越权）。我的目标是研发自动化平台，覆盖OWASP Top10漏洞，提升检测效率与覆盖率，支撑客户合规需求。
• 挑战包括：动态检测场景真实性不足（难模拟真实用户操作绕过防护）、多支付渠道接口兼容性差（微信/支付宝/银联差异大）、检测报告缺乏修复指导性。技术上需整合漏洞扫描工具与自定义脚本，解决真实性与兼容性问题。
• 集成Burp Suite API与Python自定义脚本，构建120+漏洞测试用例库（覆盖SQL注入、XSS、API越权等场景）；用Selenium模拟用户真实点击、输入行为，提升检测准确性；设计多维度报告，包含漏洞等级、CVSS评分、修复代码示例，并对接Jira实现缺陷自动流转。
• 平台检测效率提升4倍（单系统检测仅需8小时），漏洞覆盖率从75%升至95%；服务20+金融机构，年减少漏洞修复成本300万元；成为公司支付安全解决方案核心组件，支撑新客户接入效率提升50%，客户满意度从82%升至94%。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。