负责电商平台交易、支付、用户数据等核心业务线的全生命周期安全测试，主导漏洞挖掘-修复-验证闭环管理，推动安全左移能力建设与重大活动安全保障。

• 主导电商交易链路（从商品加购到支付完成）的深度渗透测试，综合运用Burp Suite Pro、OWASP ZAP及自定义Python脚本模拟黑产攻击，累计发现越权修改订单金额（CVE-2023-XXXX）、支付接口CSRF（影响用户资金安全）、敏感地址信息明文传输等高危漏洞27个；通过结合业务场景设计动态验证码二次校验、支付令牌绑定设备指纹等防御方案，推动漏洞修复率100%，当年交易链路安全事件同比下降65%。
• 针对电商平台第三方商家入驻接口（日均调用量超500万次），基于OWASP API Security Top 10框架设计专项测试方案，使用Postman Newman自动化执行200+条安全测试用例，发现未授权商家数据访问、JWT令牌暴力破解等风险点12项；主导编写《第三方接口安全测试规范》，将API安全测试嵌入需求评审阶段，后续新接入商家接口漏洞检出率提升至92%。
• 推动DevSecOps落地，主导将SonarQube（配置OWASP Java Encoder规则）、Checkmarx SAST工具集成至GitLab CI/CD流水线，实现代码提交时自动扫描XSS、SQL注入等风险；优化扫描策略后，单次构建安全扫描耗时从45分钟压缩至12分钟，开发阶段拦截率达78%，上线前漏洞总量减少55%。
• 负责双11、618大促安全保障，牵头制定《大促安全测试作战手册》，模拟DDoS攻击（使用LOIC工具验证WAF防护能力）、薅羊毛脚本（构造10万+并发请求测试优惠活动接口限流）、恶意爬虫（检测商品详情页反爬策略）等场景；大促期间核心交易系统未发生因安全漏洞导致的资损或服务中断，获公司年度安全突出贡献奖。

负责在线教育平台用户隐私保护、课程交易及内容分发环节的安全测试，协助建立标准化安全测试流程与漏洞管理机制。

• 执行平台核心API（如用户信息查询、课程支付回调）的安全测试，使用Burp Repeater修改请求头绕过身份校验，发现未授权获取学员通讯录（影响GDPR合规）、支付回调接口幂等性缺失（可能导致重复扣款）等问题；推动开发团队增加IP白名单校验与Redis分布式锁，相关风险在等保2.0三级测评中零扣分。
• 搭建静态代码安全扫描体系，基于SonarQube配置PHP/Java安全规则集（含XSS过滤、硬编码密码检测），并集成Jenkins实现每日定时扫描；上线6个月内扫描代码库30万+行，累计发现弱密码存储、日志敏感信息泄露等低级漏洞156个，代码整体安全评分从6.2提升至7.8。
• 针对K12课程内容分发场景，模拟内容篡改攻击（通过中间人攻击修改视频元数据）与非法内容上传（测试文件上传接口的MIME类型校验），发现图片上传接口未校验Content-Disposition头、视频转码服务存在路径遍历漏洞等风险；推动修复后，内容安全事件从月均3起降至0.5起以内。
• 主导面向开发团队的安全意识培训，基于OWASP Top 10设计12节实战课程（含SQL注入演示、XSS payload构造），累计培训200+人次；后续新功能提测时，因开发阶段遗漏安全校验导致的漏洞数量下降38%。

协助完成公司官网及内部管理系统的基础安全测试，参与漏洞挖掘、修复跟踪与安全文档编写。

• 使用Nessus对官网服务器进行月度漏洞扫描，识别出Apache Log4j2远程代码执行（CVE-2021-44228）等高危漏洞，输出包含修复版本、临时缓解方案的详细报告；推动运维团队48小时内完成补丁升级，季度服务器高危漏洞存活率从15%降至3%。
• 参与内部OA系统测试，重点验证权限管理模块，发现普通员工可通过修改URL参数访问管理员审批页面（水平越权）、离职员工账号未及时回收（垂直越权）等问题；协助编写《权限测试用例模板》，后续同类系统测试效率提升40%。
• 自学渗透测试技术，通过HTB靶场练习掌握Metasploit框架、Hydra暴力破解等工具，考取OSCP（Offensive Security Certified Professional）认证；将靶场实战经验应用于公司测试，发现VPN登录接口存在弱密码爆破风险，推动启用双因素认证。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。

智能推荐系统全链路质量保障体系搭建及性能优化项目

• 项目背景：公司为提升用户留存，重点迭代基于深度学习的个性化推荐系统（覆盖内容资讯、电商商品双场景），但随着模型迭代频率从每周1次增至每日3次，逐渐暴露数据链路不一致、算法效果漂移、大促期间接口超时等质量问题，导致用户投诉率上升18%。我的核心目标是通过搭建全链路质量保障体系，解决“模型效果好但线上不稳定”“数据准但链路断”等痛点，支撑系统日均处理10亿+用户行为数据、服务800万DAU。
• 关键难题与技术：① 全链路质量覆盖难：推荐系统涉及“用户行为采集→离线数据加工→模型训练→实时推理→前端展示”5层链路，传统单点测试无法覆盖端到端风险；② 算法模型质量评估缺失：仅依赖离线AUC指标无法反映线上业务效果，曾出现模型离线准确率提升5%但线上点击率下降3%的情况；③ 高并发下性能瓶颈：推荐接口日均调用量达5000万次，大促期间响应时间从120ms飙升至250ms，影响用户体验。
• 核心行动与创新：① 搭建“分层质量栅栏”：数据层自研基于Apache Avro的Schema校验工具，实现离线数据字段完整性、实时数据延迟（≤500ms）的自动化监控；模型层整合MLflow搭建“训练-评估-上线”流水线，新增线上A/B测试效果回溯机制（对比点击率、转化率、停留时长3类业务指标）；接口层用Gatling模拟10万级并发用户，结合火焰图定位到Redis缓存击穿问题（占比35%）。② 设计“推荐系统质量评分卡”：将数据准确率（≥99.9%）、模型效果偏差（≤2%）、接口响应时间（≤100ms）等8项指标加权计算，形成单次迭代质量得分，低于80分则阻断上线。③ 引入混沌工程：针对“模型服务宕机”“数据管道断流”等场景，用Chaos Mesh模拟故障，验证系统的降级能力（如 fallback 到热门推荐策略）。
• 成果与价值：① 质量保障体系落地后，推荐系统线上故障次数从每月7次降至0.5次以内，用户投诉率下降27%；② 算法模型线上效果偏差率从8%控制在2%以内，支撑内容板块DAU增长42%、电商板块转化率提升15%；③ 接口响应时间稳定在85ms以内，大促期间支撑1200万DAU无重大质量问题。我主导输出了《推荐系统全链路测试规范》《模型线上监控SOP》2份标准文档，自研的Schema校验工具被纳入公司基础组件库，获评2023年度“星途质量之星”。

电商大促场景下交易链路高并发质量保障及自动化测试升级项目

• 项目背景：公司主打“限时秒杀”核心场景，但随着活动规模扩大（从单场10万用户增至100万用户），交易链路频繁出现“库存超卖”“支付回调失败”“订单状态不一致”等问题，大促期间交易成功率从99.2%跌至97.5%，严重影响用户体验。我的目标是通过升级自动化测试体系、强化高并发场景验证，支撑大促期间10万级并发请求，保障交易链路稳定。
• 关键难题与技术：① 高并发场景模拟不真实：原有JMeter脚本仅模拟“下单”单一动作，未覆盖“浏览-加购-收藏-下单”的用户行为链路，导致测试结果与真实场景偏差大；② 库存一致性难以验证：秒杀场景下库存更新频率达每秒10万次，传统的数据库乐观锁测试无法覆盖“网络延迟导致的重复扣减”等边缘场景；③ 自动化测试效率低：大促前回归测试需手动执行50+用例，耗时2天，无法应对快速迭代的业务需求。
• 核心行动与创新：① 构建“真实用户行为模拟引擎”：基于JMeter+Java Sampler，将用户行为日志（从埋点系统提取）转化为测试脚本，模拟“90%用户浏览3个商品→60%加入购物车→30%收藏→10%下单”的真实路径，提升测试场景的贴合度。② 设计“库存一致性测试方案”：用Redis模拟库存缓存，结合Lua脚本验证“缓存与数据库的双写一致性”，同时通过Chaos Mesh模拟“数据库主从同步延迟”，验证系统的容错能力（如缓存优先返回，再异步更新数据库）。③ 自动化测试左移右移：左移至开发阶段，用TestNG+Spring Boot实现“接口契约测试”，提前拦截上下游接口不兼容问题；右移至生产环境，用Selenium+Allure搭建“线上交易链路监控”，实时预警订单状态异常。
• 成果与价值：① 大促期间交易成功率提升至99.9%，库存超卖率从0.3%降为0，支付回调失败率下降82%；② 自动化测试覆盖率从60%提升至90%，回归测试时间从2天缩短至4小时，支撑活动迭代频率从每月1次增至每周2次；③ 输出《电商大促质量保障手册》，成为公司大促筹备的标准指南，我主导的“用户行为模拟引擎”被复用到公司其他电商产品线，获2021年度“云帆技术突破奖”。