负责电商平台核心交易、支付、用户隐私等关键业务线的安全测试全流程，涵盖渗透测试、漏洞挖掘、修复跟踪及安全体系优化，主导构建业务线级安全测试标准与应急响应机制。

• 主导电商平台“618大促”核心交易链路的深度渗透测试，采用Burp Suite抓包分析、SQLMap自动化扫描结合人工验证，模拟黑客攻击路径，累计发现高危漏洞12个（含越权修改订单金额、支付接口重放攻击等OWASP Top 10 A1/A8类漏洞），推动开发团队48小时内完成紧急修复，经后续模拟攻击验证，漏洞修复率达100%，保障大促期间交易链路0安全事件。
• 设计并落地“安全测试左移”方案，将SAST工具（SonarQube安全插件）集成至CI/CD流程，针对微服务接口进行静态代码安全扫描，自定义规则库覆盖SQL注入、XSS、CSRF等8类常见漏洞，使漏洞发现提前至开发阶段，测试周期缩短30%，上线前遗留高危漏洞数量同比下降65%。
• 牵头建立业务线漏洞闭环管理系统，基于Jira定制漏洞跟踪模板，规范“发现-分级-派发-修复-复测-归档”全流程，引入风险等级动态评估模型（结合CVSS评分与业务影响度），推动漏洞平均修复时长从7天压缩至3天，季度漏洞积压率从28%降至5%。
• 应对监管机构“用户隐私保护专项检查”，主导完成APP隐私政策合规测试，对照《个人信息保护法》及GB/T 35273-2020标准，梳理12类敏感权限（如位置、通讯录）的采集与使用场景，发现超范围获取设备信息、未明示第三方数据共享等5项不合规问题，推动产品团队整改并提交合规报告，最终以0重大不符合项通过检查。

负责金融科技产品（消费信贷、支付中台）的安全测试，聚焦接口安全、数据加密及身份认证体系验证，参与制定公司级安全测试规范，支持业务线应对等保2.0三级测评。

• 负责消费信贷核心接口（如额度审批、放款回调）的安全测试，使用Postman+Newman编写自动化测试脚本，覆盖身份鉴权（JWT令牌伪造）、参数篡改（修改借款金额）、敏感数据明文传输等场景，累计发现接口越权、加密算法弱密钥等中高危漏洞23个，推动采用AES-256+RSA混合加密方案升级数据传输层，经渗透测试验证，接口抗攻击能力提升80%。
• 参与公司等保2.0三级测评准备，主导完成安全测试模块支撑，梳理30+业务系统的安全控制点（如访问控制、日志审计），针对测评要求的“恶意代码防范”“入侵检测”等12项指标，设计专项测试用例，发现日志未脱敏、未授权文件上传等7项问题，协助技术团队45天内完成整改，最终测评一次性通过率92%。
• 搭建接口安全测试工具集，基于Python+Requests封装通用测试框架，集成OAuth2.0鉴权模拟、JWT令牌解析、SQL注入payload自动生成等功能，将接口安全测试效率提升50%，该工具被推广至公司其他业务线，累计支持10+项目组的接口安全测试需求。
• 处理线上安全事件响应，针对用户反馈的“账户异常登录”问题，通过分析服务器日志与网络流量（Wireshark抓包），定位到短信验证码接口存在暴力破解漏洞（无验证码频率限制），推动开发添加滑动验证码+IP限流策略，后续同类事件投诉量下降95%。

协助完成公司官网、后台管理系统的安全测试，参与漏洞扫描与基础渗透测试，学习安全测试工具与方法论，支持团队构建基础安全测试能力。

• 负责公司官网及CMS系统的日常安全巡检，使用AWVS、Nessus进行自动化扫描，结合人工验证，累计发现XSS跨站脚本（存储型）、目录遍历等中低危漏洞47个，推动开发修复并复测确认，官网月度安全事件数量从3次降至0次。
• 参与后台管理系统渗透测试，学习使用Metasploit进行漏洞利用验证，针对发现的“弱口令登录”问题（默认管理员账号未修改），编写《弱口令风险说明文档》并组织开发团队培训，后续新系统上线强制要求复杂密码策略，弱口令问题发生率下降85%。
• 协助搭建公司安全测试知识库，整理常见漏洞案例（如CSRF、文件包含）及修复方案，收录20+篇技术文档，覆盖主流测试工具（Burp Suite、SQLMap）的使用教程，提升团队新人培养效率，新员工独立完成基础测试的时间从2周缩短至5天。

星途直播平台全链路质量保障体系搭建及性能优化

• 直播业务月活从800万快速增长至1800万，但原有测试依赖人工轮检与单接口验证，峰值期（如跨年、618专场）月均出现5次重大故障（开播失败、互动延迟、画面卡顿），需构建覆盖“用户行为-服务调用-基础设施”的全链路质量防护网，实现故障前置拦截与分钟级恢复。
• 识别直播核心链路（开播推流→观众进入→实时互动→礼物打赏→录播回放）中的高风险节点：一是实时互动链路（消息延迟超500ms会流失用户），二是多端（iOS/Android/Web）画面一致性（曾因编码差异导致10%用户反馈“画面花屏”），三是高并发下服务稳定性（峰值并发达12万时数据库连接池耗尽）；引入混沌工程工具Chaos Mesh模拟服务器宕机、网络丢包、Redis缓存击穿等场景，暴露弱依赖问题。
• 设计“链路标签透传”方案——在HTTP/gRPC请求中嵌入唯一traceId，关联用户行为日志、服务调用链与监控数据，实现故障从用户端到DB层的秒级溯源（如某次互动延迟问题，通过traceId快速定位到消息队列分区不均）；开发基于OpenCV的图像比对工具，自动校验三端直播画面的色彩偏差（ΔE≤2）、帧率一致性（误差≤5fps），替代人工逐帧核对；搭建全链路质量监控平台，整合Prometheus采集CPU/内存/消息堆积指标，Grafana可视化“开播成功率”“互动延迟率”“礼物到账耗时”等12个核心指标，设置阈值告警。
• 项目落地后，直播故障次数下降65%（月均1.7次），故障定位时间从45分钟缩短至10分钟内；用户关于“直播卡顿”“互动失败”“画面不同步”的投诉率下降58%；支撑大促期间12万+并发稳定运行，开播成功率从92%提升至98.5%。主导输出3份全链路测试SOP，培养2名测试同学掌握混沌工程与链路分析能力，推动团队从“被动救火”转向“主动防错”。

星途社交APP自动化测试框架升级与稳定性提升

• 社交APP月迭代3个版本，原有自动化框架基于原生Appium搭建，存在元素定位不稳定（动态列表、异步加载元素识别率仅60%）、脚本维护成本高（每版修改30%以上脚本）、无法并行执行（单轮回归需5天）等问题，导致回归覆盖不全，线上频繁出现“消息发送失败”“朋友圈加载慢”等缺陷，亟需重构框架支撑高频发布。
• 框架核心痛点：一是Appium原生定位策略（如By.XPATH）对动态元素失效，二是脚本与页面元素强耦合（页面变更需改所有关联脚本），三是执行效率低（单设备串行）；技术选型上，采用“Cucumber+BDD”实现自然语言用例，“Appium+UiAutomator2”优化移动端交互，结合Docker搭建设备集群支持并行。
• 重构四层架构：基础层封装Appium原生API（如“智能等待元素”——结合显式等待与元素可见性校验，解决异步加载问题；“动态列表定位”——通过父节点+子元素特征定位，识别率提升至95%）；页面对象层将页面元素与操作封装为独立类（如LoginPage、MessagePage），降低脚本与页面的耦合；场景层组合页面对象实现业务流程（如“用户A给用户B发消息”）；用例层用Cucumber编写自然语言用例（如“Given 用户已登录 Then 发送消息给好友 Should 收到回复”）。；基于Docker搭建Appium Grid集群，支持10台设备并行执行，提升效率。
• 框架升级后，自动化执行成功率从70%提升至95%，脚本维护成本下降40%（页面变更仅需修改对应页面对象类）；单轮回归时间从5天缩短至1天，实现“版本发布前100%核心功能回归”；新功能上线后“消息发送失败”缺陷率下降42%，用户投诉减少35%。输出《社交APP自动化测试框架最佳实践》，推动团队采用BDD模式，测试与产品、开发的协作效率提升50%，成为团队自动化测试的技术标杆。

支教时发现乡村小学因缺乏实验器材，科学课多停留在课本讲解。返校后联合实验室开发出百元级科学实验背包，内含20个基础实验器材。为确保可持续运营，设计配套视频课程与城乡结对系统，并培训132名大学生担任远程助教。项目覆盖9省47所学校后，学生科学兴趣评分提升35%。这段经历教会我用产品思维解决社会问题，当看到孩子们用自制望远镜发现土星光环时，我理解了教育的真谛是点燃可能性。