负责电商平台核心交易链路及大促活动的安全测试全周期管理，覆盖漏洞挖掘、防御体系验证、安全左移落地，主导搭建业务级安全测试标准与应急响应机制，保障亿级用户交易场景的安全性与稳定性。

• 主导设计2024年双11大促秒杀系统的安全测试方案，针对高并发、强交互特性，采用Burp Suite定制化插件拦截异常请求、OWASP ZAP模拟DDoS攻击，结合业务日志分析识别出3类关键风险：支付回调接口越权（影响订单金额篡改）、库存扣减逻辑漏洞（触发超卖）、验证码绕过（导致机器刷单）。通过构造恶意参数注入、多线程压测复现问题，推动开发重构权限校验中间件、引入分布式锁机制，将大促期间资损风险降低92%，最终实现0起因安全漏洞导致的客诉。
• 推动安全测试左移落地，主导在GitLab CI/CD流水线集成SonarQube SAST扫描与OWASP ZAP DAST自动化测试，自定义电商业务规则库（如敏感信息正则匹配、支付参数长度限制），使代码提交阶段高危漏洞拦截率从35%提升至81%；同步开发测试报告可视化看板，实时展示各业务线安全风险等级，推动开发团队修复时效缩短40%，上线前遗留高危漏洞数量同比下降67%。
• 牵头建立大促安全应急响应SLA，模拟黑产攻击场景（如SQL注入获取用户手机号、XSS窃取Cookie）设计攻防演练，复现3起潜在攻击路径。针对其中Redis未授权访问漏洞，定位根因是云服务器安全组配置疏漏，协调运维团队4小时内完成全局端口白名单收紧，并优化WAF规则库新增20条针对电商业务的攻击特征拦截策略，后续3个月内同类攻击成功拦截率提升至99.5%。
• 负责隐私计算场景安全验证，配合数据团队落地联邦学习用户画像模型，测试模型训练数据传输加密（TLS 1.3）、计算节点访问控制（RBAC细粒度策略）、结果集脱敏（哈希加盐）等关键环节，发现2处密钥硬编码问题与1处脱敏规则遗漏，推动采用AWS KMS管理密钥并完善脱敏算法，助力业务通过国家金融科技安全认证。

聚焦用户隐私合规与交易链路安全测试，构建覆盖用户生命周期（注册-下单-支付-售后）的安全测试体系，支撑平台通过等保三级、ISO 27001认证，保障千万级用户数据安全与业务合规。

• 设计隐私合规测试框架，依据《个人信息保护法》与GDPR要求，拆解用户数据收集（最小必要原则）、存储（加密等级）、传输（通道安全）、共享（第三方授权）4大环节测试点。通过Postman脚本自动化遍历120+接口，发现3类问题：用户地址信息明文存储于日志文件、第三方物流接口未签署数据共享协议、注销账号后支付信息未彻底清除。推动技术团队完成日志脱敏改造（掩码处理关键字段）、签署补充协议并上线数据彻底删除接口，最终以0不符合项通过年度隐私合规审计。
• 优化接口安全测试效率，针对核心交易接口（如创建订单、支付回调）开发Python自动化测试脚本，集成JWT鉴权有效性验证（过期时间、签名算法）、速率限制（QPS阈值）、参数篡改（修改支付金额、用户ID）等测试用例，覆盖92%的高频交易接口。上线后接口安全漏洞发现效率提升5倍，上线前接口类高危漏洞残留量从月均15个降至3个以内。
• 参与红蓝对抗演练，扮演攻击方模拟XSS、CSRF、SSRF等攻击：通过构造包含恶意JS的评论内容触发存储型XSS（影响用户cookie窃取），发现前端输入过滤仅校验特殊字符未转义HTML实体；模拟CSRF攻击时，利用未绑定的Referer头绕过防御，暴露出部分接口未校验Origin字段。推动前端增加CSP策略（限制脚本来源）、后端强制校验Referer与Origin，XSS与CSRF攻击成功率从45%降至5%以下。

协助完成业务系统基础安全测试与漏洞管理，参与渗透测试、安全用例维护及团队安全意识培训，保障内部管理系统与外部合作接口的基础安全性。

• 执行核心系统（OA、CRM）渗透测试，使用Nmap扫描内网资产暴露面，发现3台未打补丁的Redis服务器开放公网端口且未设置认证；通过Metasploit调用redis模块写入Webshell，验证服务器被控制风险。提交详细漏洞报告并附修复方案（关闭公网暴露、启用密码认证、限制IP白名单），推动运维团队48小时内完成整改，漏洞修复率100%，当年内网横向渗透事件归零。
• 搭建安全测试用例库，基于OWASP Top 10与业务场景梳理200+测试用例，覆盖SQL注入、XSS、越权访问等常见漏洞类型。例如针对用户信息查询接口，设计“修改URL参数userId尝试访问他人数据”“输入单引号触发数据库报错”等用例，使团队测试覆盖率从65%提升至90%，同类漏洞复发率下降40%。
• 组织面向开发团队的安全培训，每月选取1-2个典型漏洞案例（如因未校验文件上传类型导致的RCE攻击），讲解漏洞原理、修复方案与编码规范。累计培训12场，覆盖80+开发人员，后续新上线功能中因低级安全编码问题导致的漏洞数量同比减少55%。

年度IP联动活动全链路性能保障与智能故障定位体系搭建项目

• 项目背景：公司为旗下核心文娱APP筹备年度头部动漫IP联动直播活动，预期活动峰值并发达1200万（日常5倍），需解决高并发下系统性能瓶颈、多依赖链路故障快速定位及用户体验保障问题；我的核心职责是主导全链路压测方案设计、智能监控体系搭建，确保活动系统稳定性满足业务要求。
• 关键难题：传统压测工具无法模拟真实用户的随机化行为（如直播互动、分层级礼物打赏的组合操作），且分布式系统下故障定位依赖人工逐层排查（耗时超45分钟）；同时，活动涉及第三方支付、CDN、IM等6个外部依赖，接口容错能力未经过验证。
• 核心行动：① 自研「用户行为模拟引擎」，基于APP历史行为数据训练决策模型，生成覆盖92%真实场景的压测脚本（含随机断流、异常礼物刷量等异常 case）；② 整合OpenTelemetry实现全链路追踪，将请求链路可视化至微服务、数据库调用层级；③ 引入Chaos Mesh混沌工程工具，注入数据库主节点宕机、CDN节点延迟、IM消息丢失等15类故障，验证熔断、降级、重试策略的有效性。
• 项目成果：全链路压测覆盖率从70%提升至95%，故障定位时间缩短至5分钟内；活动期间系统可用性达99.99%，支撑1200万并发无宕机；第三方依赖接口故障率从预期3%降至0.5%。此方案被纳入公司《大型活动稳定性保障标准》，自研压测引擎推广至电商、社交3条业务线复用，我个人因此获公司年度「技术攻坚奖」。

直播业务跨端自动化测试平台搭建与AI合规校验体系落地项目

• 项目背景：公司直播业务月迭代20+次，手动回归测试需10人天/周，漏测率高达8%（主要集中在推流稳定性、弹幕并发、礼物计算等场景），严重影响版本上线效率；我的职责是设计自动化测试平台，解决直播功能的高效回归与多端兼容问题。
• 关键难题：直播流实时性强，传统自动化用例易因画面延迟、弹幕高并发导致误报；多端（APP、小程序、Web）需重复编写脚本，维护成本高；此外，直播内容合规性（敏感词、画面违规）依赖人工审核，耗时占总测试时间的30%。
• 核心行动：① 搭建基于Selenium Grid+Appium的跨端自动化框架，封装多端通用操作接口（如登录、发弹幕、送礼物），减少50%脚本编写量；② 引入YOLOv5 AI模型实现直播画面合规性自动校验，通过标注10万+张违规图片训练模型，识别准确率达92%；③ 设计「录屏转脚本」工具，支持测试人员通过录制操作生成自动化用例，降低非技术人员使用门槛。
• 项目成果：自动化覆盖率从30%提升至75%，回归测试时间缩短至2人天/周，漏测率降至1.5%；AI合规校验替代70%人工审核，版本上线周期从7天缩至4天。平台支撑全年200+次迭代，后续扩展至短视频、秀场业务线，成为公司核心测试基础设施，我主导的「AI+自动化」方案获集团技术创新三等奖。

• 因痛心于年轻人对历史的疏离，我在B站创立「古人脱口秀」栏目，用职场梗解构历史事件（如《雍正皇帝的KPI保卫战》）。通过设计「颠覆认知-史料佐证-现代共鸣」三幕剧本模板，单期视频最高收获1.7万条弹幕互动。
• 两年间栏目播放量突破180万，作品被多地中学选为教学素材。这段经历磨砺出将学术内容转化为大众语言的能力，也让我理解到真实用户反馈才是创作者的指南针。