主导电商平台核心交易链路、用户数据安全及大促场景的全生命周期安全测试，覆盖需求安全评审、威胁建模、漏洞挖掘、防御体系有效性验证及应急溯源，边界从安全左移的需求阶段延伸至上线后持续安全运营的闭环管理

• 主导618、双11大促核心交易链路的威胁建模与红队渗透测试，基于STRIDE模型拆解订单支付、优惠券核销、库存扣减等10+高风险场景，识别出支付回调接口未校验JWT签名导致的重放攻击、库存超卖逻辑未加分布式锁的安全隐患；通过设计「签名时效+nonce唯一标识」的双重校验方案，联动开发修复后，该场景漏洞率从32%降至0，支撑大促期间12亿级交易零安全事故运行
• 搭建电商用户数据安全测试体系，针对隐私政策合规性及数据全链路加密要求，使用Burp Suite抓包分析+Python自动化脚本验证，覆盖注册、登录、个人中心、地址管理等12个核心模块；识别出手机号明文传输、身份证信息未AES-256脱敏存储等8类等保2.0三级不合规风险，推动开发实现「传输层TLS 1.3加密+存储层字段级脱敏」方案，助力公司通过当年等保2.0三级测评，数据泄露风险事件同比下降65%
• 负责WAF、IDS等安全防御机制的有效性验证，针对原有WAF对JSON格式XSS攻击拦截率仅40%的问题，使用SQLMap定制化JSON Payload及XSStrike工具模拟黑客攻击，定位到正则规则未覆盖JSON结构的问题；优化WAF规则引擎，增加JSON语法解析层及XSS特征库，将拦截率提升至92%，并通过Python自动化脚本每月回归测试，确保防御机制随业务迭代持续有效
• 主导用户账号被盗事件的应急溯源，通过ELK Stack分析用户请求日志、结合沙箱工具Dissect分析恶意请求样本，追踪到第三方登录接口未校验Referer导致的CSRF漏洞；协调开发添加Referer白名单及Token绑定机制，同时输出《第三方接口安全加固指南》，后续同类漏洞发生率下降80%

负责ToB SaaS产品（企业合同管理）的安全测试，覆盖漏洞挖掘、合规验证及测试工具优化，边界是从功能测试延伸至安全维度，保障中小企业客户的数据隐私与系统稳定性

• 参与合同管理模块的安全测试，使用OWASP ZAP进行自动化扫描+手动验证，发现文件上传接口未限制.docx/.pdf以外的文件类型，导致任意文件下载漏洞；通过Python脚本模拟上传.jsp木马文件，验证漏洞可获取服务器敏感配置，推动开发添加MIME类型校验及文件哈希比对，修复后避免了3家客户的合同文件泄露风险
• 针对产品每两周一次的快速迭代，优化安全测试效率：用Selenium+Python开发自动化脚本，覆盖SQL注入、反射型XSS、CSRF令牌校验等6类常见漏洞的验证，将单模块安全测试时间从3天缩短至8小时，测试覆盖率从75%提升至90%，支撑了产品的高频迭代需求
• 协助某金融客户通过PCI DSS合规审计，负责梳理支付流程的安全点：使用Nessus扫描支付网关的SSL/TLS配置，发现仍启用TLS 1.0；推动开发升级至TLS 1.2并禁用弱加密套件，同时输出《PCI DSS合规测试报告》，覆盖数据加密、访问控制等11项要求，帮助客户通过支付机构的合规检查

协助团队开展基础安全测试，覆盖漏洞挖掘、测试用例设计及安全意识推广，边界是完成从功能测试到安全测试的能力转型，积累Web安全基础技能

• 参与公司内部OA系统的安全测试，使用Burp Suite拦截后台管理请求，发现管理员密码重置接口未校验用户身份，可通过修改URL参数重置任意账号密码；通过Postman模拟攻击，推动IT部门启用双因素认证及密码复杂度策略，降低了内部账号被盗的风险
• 设计公司首个安全测试用例库，结合OWASP Top 10及业务场景，整理了120条覆盖SQL注入、XSS、文件包含等漏洞的测试用例，包含前置条件、测试步骤、预期结果；后续测试团队的安全用例复用率从40%提升至70%，减少了重复劳动
• 开展内部安全培训，针对开发团队常见的SQL注入问题，制作《预编译语句最佳实践》课件，讲解漏洞原理及修复方法；培训后开发团队的代码审计中，SQL注入漏洞数量从每月15个下降至6个，提升了整体安全编码意识

智能推荐系统全链路质量保障体系搭建及性能优化项目

• 项目背景：公司为提升用户留存，重点迭代基于深度学习的个性化推荐系统（覆盖内容资讯、电商商品双场景），但随着模型迭代频率从每周1次增至每日3次，逐渐暴露数据链路不一致、算法效果漂移、大促期间接口超时等质量问题，导致用户投诉率上升18%。我的核心目标是通过搭建全链路质量保障体系，解决“模型效果好但线上不稳定”“数据准但链路断”等痛点，支撑系统日均处理10亿+用户行为数据、服务800万DAU。
• 关键难题与技术：① 全链路质量覆盖难：推荐系统涉及“用户行为采集→离线数据加工→模型训练→实时推理→前端展示”5层链路，传统单点测试无法覆盖端到端风险；② 算法模型质量评估缺失：仅依赖离线AUC指标无法反映线上业务效果，曾出现模型离线准确率提升5%但线上点击率下降3%的情况；③ 高并发下性能瓶颈：推荐接口日均调用量达5000万次，大促期间响应时间从120ms飙升至250ms，影响用户体验。
• 核心行动与创新：① 搭建“分层质量栅栏”：数据层自研基于Apache Avro的Schema校验工具，实现离线数据字段完整性、实时数据延迟（≤500ms）的自动化监控；模型层整合MLflow搭建“训练-评估-上线”流水线，新增线上A/B测试效果回溯机制（对比点击率、转化率、停留时长3类业务指标）；接口层用Gatling模拟10万级并发用户，结合火焰图定位到Redis缓存击穿问题（占比35%）。② 设计“推荐系统质量评分卡”：将数据准确率（≥99.9%）、模型效果偏差（≤2%）、接口响应时间（≤100ms）等8项指标加权计算，形成单次迭代质量得分，低于80分则阻断上线。③ 引入混沌工程：针对“模型服务宕机”“数据管道断流”等场景，用Chaos Mesh模拟故障，验证系统的降级能力（如 fallback 到热门推荐策略）。
• 成果与价值：① 质量保障体系落地后，推荐系统线上故障次数从每月7次降至0.5次以内，用户投诉率下降27%；② 算法模型线上效果偏差率从8%控制在2%以内，支撑内容板块DAU增长42%、电商板块转化率提升15%；③ 接口响应时间稳定在85ms以内，大促期间支撑1200万DAU无重大质量问题。我主导输出了《推荐系统全链路测试规范》《模型线上监控SOP》2份标准文档，自研的Schema校验工具被纳入公司基础组件库，获评2023年度“星途质量之星”。

电商大促场景下交易链路高并发质量保障及自动化测试升级项目

• 项目背景：公司主打“限时秒杀”核心场景，但随着活动规模扩大（从单场10万用户增至100万用户），交易链路频繁出现“库存超卖”“支付回调失败”“订单状态不一致”等问题，大促期间交易成功率从99.2%跌至97.5%，严重影响用户体验。我的目标是通过升级自动化测试体系、强化高并发场景验证，支撑大促期间10万级并发请求，保障交易链路稳定。
• 关键难题与技术：① 高并发场景模拟不真实：原有JMeter脚本仅模拟“下单”单一动作，未覆盖“浏览-加购-收藏-下单”的用户行为链路，导致测试结果与真实场景偏差大；② 库存一致性难以验证：秒杀场景下库存更新频率达每秒10万次，传统的数据库乐观锁测试无法覆盖“网络延迟导致的重复扣减”等边缘场景；③ 自动化测试效率低：大促前回归测试需手动执行50+用例，耗时2天，无法应对快速迭代的业务需求。
• 核心行动与创新：① 构建“真实用户行为模拟引擎”：基于JMeter+Java Sampler，将用户行为日志（从埋点系统提取）转化为测试脚本，模拟“90%用户浏览3个商品→60%加入购物车→30%收藏→10%下单”的真实路径，提升测试场景的贴合度。② 设计“库存一致性测试方案”：用Redis模拟库存缓存，结合Lua脚本验证“缓存与数据库的双写一致性”，同时通过Chaos Mesh模拟“数据库主从同步延迟”，验证系统的容错能力（如缓存优先返回，再异步更新数据库）。③ 自动化测试左移右移：左移至开发阶段，用TestNG+Spring Boot实现“接口契约测试”，提前拦截上下游接口不兼容问题；右移至生产环境，用Selenium+Allure搭建“线上交易链路监控”，实时预警订单状态异常。
• 成果与价值：① 大促期间交易成功率提升至99.9%，库存超卖率从0.3%降为0，支付回调失败率下降82%；② 自动化测试覆盖率从60%提升至90%，回归测试时间从2天缩短至4小时，支撑活动迭代频率从每月1次增至每周2次；③ 输出《电商大促质量保障手册》，成为公司大促筹备的标准指南，我主导的“用户行为模拟引擎”被复用到公司其他电商产品线，获2021年度“云帆技术突破奖”。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。