负责电商平台核心交易、支付、用户隐私等关键业务线的安全测试全流程，涵盖渗透测试、漏洞挖掘、修复跟踪及安全体系优化，主导构建业务线级安全测试标准与应急响应机制。

• 主导电商平台“618大促”核心交易链路的深度渗透测试，采用Burp Suite抓包分析、SQLMap自动化扫描结合人工验证，模拟黑客攻击路径，累计发现高危漏洞12个（含越权修改订单金额、支付接口重放攻击等OWASP Top 10 A1/A8类漏洞），推动开发团队48小时内完成紧急修复，经后续模拟攻击验证，漏洞修复率达100%，保障大促期间交易链路0安全事件。
• 设计并落地“安全测试左移”方案，将SAST工具（SonarQube安全插件）集成至CI/CD流程，针对微服务接口进行静态代码安全扫描，自定义规则库覆盖SQL注入、XSS、CSRF等8类常见漏洞，使漏洞发现提前至开发阶段，测试周期缩短30%，上线前遗留高危漏洞数量同比下降65%。
• 牵头建立业务线漏洞闭环管理系统，基于Jira定制漏洞跟踪模板，规范“发现-分级-派发-修复-复测-归档”全流程，引入风险等级动态评估模型（结合CVSS评分与业务影响度），推动漏洞平均修复时长从7天压缩至3天，季度漏洞积压率从28%降至5%。
• 应对监管机构“用户隐私保护专项检查”，主导完成APP隐私政策合规测试，对照《个人信息保护法》及GB/T 35273-2020标准，梳理12类敏感权限（如位置、通讯录）的采集与使用场景，发现超范围获取设备信息、未明示第三方数据共享等5项不合规问题，推动产品团队整改并提交合规报告，最终以0重大不符合项通过检查。

负责金融科技产品（消费信贷、支付中台）的安全测试，聚焦接口安全、数据加密及身份认证体系验证，参与制定公司级安全测试规范，支持业务线应对等保2.0三级测评。

• 负责消费信贷核心接口（如额度审批、放款回调）的安全测试，使用Postman+Newman编写自动化测试脚本，覆盖身份鉴权（JWT令牌伪造）、参数篡改（修改借款金额）、敏感数据明文传输等场景，累计发现接口越权、加密算法弱密钥等中高危漏洞23个，推动采用AES-256+RSA混合加密方案升级数据传输层，经渗透测试验证，接口抗攻击能力提升80%。
• 参与公司等保2.0三级测评准备，主导完成安全测试模块支撑，梳理30+业务系统的安全控制点（如访问控制、日志审计），针对测评要求的“恶意代码防范”“入侵检测”等12项指标，设计专项测试用例，发现日志未脱敏、未授权文件上传等7项问题，协助技术团队45天内完成整改，最终测评一次性通过率92%。
• 搭建接口安全测试工具集，基于Python+Requests封装通用测试框架，集成OAuth2.0鉴权模拟、JWT令牌解析、SQL注入payload自动生成等功能，将接口安全测试效率提升50%，该工具被推广至公司其他业务线，累计支持10+项目组的接口安全测试需求。
• 处理线上安全事件响应，针对用户反馈的“账户异常登录”问题，通过分析服务器日志与网络流量（Wireshark抓包），定位到短信验证码接口存在暴力破解漏洞（无验证码频率限制），推动开发添加滑动验证码+IP限流策略，后续同类事件投诉量下降95%。

协助完成公司官网、后台管理系统的安全测试，参与漏洞扫描与基础渗透测试，学习安全测试工具与方法论，支持团队构建基础安全测试能力。

• 负责公司官网及CMS系统的日常安全巡检，使用AWVS、Nessus进行自动化扫描，结合人工验证，累计发现XSS跨站脚本（存储型）、目录遍历等中低危漏洞47个，推动开发修复并复测确认，官网月度安全事件数量从3次降至0次。
• 参与后台管理系统渗透测试，学习使用Metasploit进行漏洞利用验证，针对发现的“弱口令登录”问题（默认管理员账号未修改），编写《弱口令风险说明文档》并组织开发团队培训，后续新系统上线强制要求复杂密码策略，弱口令问题发生率下降85%。
• 协助搭建公司安全测试知识库，整理常见漏洞案例（如CSRF、文件包含）及修复方案，收录20+篇技术文档，覆盖主流测试工具（Burp Suite、SQLMap）的使用教程，提升团队新人培养效率，新员工独立完成基础测试的时间从2周缩短至5天。

年度IP联动活动全链路性能保障与智能故障定位体系搭建项目

• 项目背景：公司为旗下核心文娱APP筹备年度头部动漫IP联动直播活动，预期活动峰值并发达1200万（日常5倍），需解决高并发下系统性能瓶颈、多依赖链路故障快速定位及用户体验保障问题；我的核心职责是主导全链路压测方案设计、智能监控体系搭建，确保活动系统稳定性满足业务要求。
• 关键难题：传统压测工具无法模拟真实用户的随机化行为（如直播互动、分层级礼物打赏的组合操作），且分布式系统下故障定位依赖人工逐层排查（耗时超45分钟）；同时，活动涉及第三方支付、CDN、IM等6个外部依赖，接口容错能力未经过验证。
• 核心行动：① 自研「用户行为模拟引擎」，基于APP历史行为数据训练决策模型，生成覆盖92%真实场景的压测脚本（含随机断流、异常礼物刷量等异常 case）；② 整合OpenTelemetry实现全链路追踪，将请求链路可视化至微服务、数据库调用层级；③ 引入Chaos Mesh混沌工程工具，注入数据库主节点宕机、CDN节点延迟、IM消息丢失等15类故障，验证熔断、降级、重试策略的有效性。
• 项目成果：全链路压测覆盖率从70%提升至95%，故障定位时间缩短至5分钟内；活动期间系统可用性达99.99%，支撑1200万并发无宕机；第三方依赖接口故障率从预期3%降至0.5%。此方案被纳入公司《大型活动稳定性保障标准》，自研压测引擎推广至电商、社交3条业务线复用，我个人因此获公司年度「技术攻坚奖」。

直播业务跨端自动化测试平台搭建与AI合规校验体系落地项目

• 项目背景：公司直播业务月迭代20+次，手动回归测试需10人天/周，漏测率高达8%（主要集中在推流稳定性、弹幕并发、礼物计算等场景），严重影响版本上线效率；我的职责是设计自动化测试平台，解决直播功能的高效回归与多端兼容问题。
• 关键难题：直播流实时性强，传统自动化用例易因画面延迟、弹幕高并发导致误报；多端（APP、小程序、Web）需重复编写脚本，维护成本高；此外，直播内容合规性（敏感词、画面违规）依赖人工审核，耗时占总测试时间的30%。
• 核心行动：① 搭建基于Selenium Grid+Appium的跨端自动化框架，封装多端通用操作接口（如登录、发弹幕、送礼物），减少50%脚本编写量；② 引入YOLOv5 AI模型实现直播画面合规性自动校验，通过标注10万+张违规图片训练模型，识别准确率达92%；③ 设计「录屏转脚本」工具，支持测试人员通过录制操作生成自动化用例，降低非技术人员使用门槛。
• 项目成果：自动化覆盖率从30%提升至75%，回归测试时间缩短至2人天/周，漏测率降至1.5%；AI合规校验替代70%人工审核，版本上线周期从7天缩至4天。平台支撑全年200+次迭代，后续扩展至短视频、秀场业务线，成为公司核心测试基础设施，我主导的「AI+自动化」方案获集团技术创新三等奖。

• 因痛心于年轻人对历史的疏离，我在B站创立「古人脱口秀」栏目，用职场梗解构历史事件（如《雍正皇帝的KPI保卫战》）。通过设计「颠覆认知-史料佐证-现代共鸣」三幕剧本模板，单期视频最高收获1.7万条弹幕互动。
• 两年间栏目播放量突破180万，作品被多地中学选为教学素材。这段经历磨砺出将学术内容转化为大众语言的能力，也让我理解到真实用户反馈才是创作者的指南针。