• 架构并落地了公司统一的DevSecOps能力中台，将SAST、DAST、SCA、密钥扫描等10余种安全工具无缝集成至CI/CD流水线，通过质量门禁统一管控，实现安全左移，使85%的漏洞在编码和测试阶段被发现和修复，修复成本下降90%。
• 设计了基于网络爬虫与资产指纹识别的互联网暴露面自动发现与监控系统，每日主动发现并识别公司新增的未知资产、错误配置和高危端口，累计收敛攻击面2000余个，极大降低了被外部攻击者发现和利用的风险。
• 将WAF、HIDS、风控等安全组件的核心能力抽象为标准化API，构建了公司内部的安全能力开放平台，赋能业务研发人员在其流程中自助调用安全服务，全年支撑了5000+次安全API调用，真正将安全能力融入到研发体系的血脉中。
• 自研了智能漏洞风险评级与修复优先级模型，融合CVSS评分、资产重要性、 exploit利用条件、网络位置等10+个维度，将漏洞预警的噪音降低了70%，并指导安全运营团队优先处理TOP 5%的高危漏洞，有效提升了安全工作的ROI。

• 作为核心开发者，参与了公司主力漏洞扫描器V6版本的引擎重写，新引擎采用无锁队列和协程调度，并发扫描性能提升500%，在大型企业网络中进行万点级别扫描时，耗时从小时级降至分钟级，赢得了多个重量级客户订单。
• 攻克了Web2.0/Ajax应用动态爬取的技术难题，通过深度定制Chromium内核，实现了对复杂前端渲染页面的无损抓取与自动化表单填写，使DAST工具的漏洞检出率提升了40%，尤其在SPA（单页面应用）场景下表现卓越。
• 基于Elasticsearch与Vue.js开发了安全数据中台的可视化前端，设计了20+种安全态势报表，为管理层提供了直观的决策支持。
• 为产品开发了可视化漏洞攻击链演示模块，可将扫描结果自动转化为生动的攻击路径图，极大降低了安全报告的理解门槛，该功能成为售前工程师的核心演示利器，直接助推产品销售额年度增长25%。

直播全链路实时风险防控系统研发

• 星途互娱直播业务日活峰值超800万，但原有风险防控依赖传统规则引擎，存在误报率高（18%）、新型攻击（如AI生成虚假弹幕、绕过鉴权的黑产工具）拦截滞后等问题，严重影响用户体验与业务收入。我的核心职责是主导从架构设计到生产落地的全流程，联动产品、算法团队构建适配直播场景的实时风险防控体系。
• 直播场景风险具有毫秒级传导特性，需解决三大核心挑战：1）实时性——如何在100ms内完成直播流、弹幕、礼物、用户行为的多源数据融合分析；2）准确性——如何区分真实用户互动与AI生成的恶意内容；3）适应性——如何快速迭代应对黑产的策略变化。我采用Flink流计算框架实现秒级数据处理，结合Neo4j图数据库构建用户行为关联图谱，将原有规则引擎升级为XGBoost+深度学习的混合模型，同时对接外部威胁情报平台实时同步黑产特征。
• 针对AI生成的虚假弹幕，我设计了‘语义理解+行为画像’的双因子检测逻辑：先用BERT模型识别弹幕的语义异常（如重复、无意义内容），再通过用户历史互动频率、设备指纹等信息构建图谱，判断是否为机器人集群操作；针对绕过鉴权的黑产工具，我开发了动态鉴权校验模块，基于设备可信度评分（结合IMEI、IP、行为模式）实时拦截非法请求。此外，我推动系统实现‘自适应阈值调整’——根据业务时段（如晚8点高峰）动态调整风险判定阈值，平衡拦截率与误报率。
• 系统上线后，直播场景风险事件拦截率从75%提升至92%，误报率降至5%以下，每月减少因黑产刷量、盗号造成的收入损失约300万元。支撑直播业务DAU从500万增长至800万，同时降低了客服团队30%的恶意投诉处理成本。我个人主导的‘混合模型+图关联’方案成为公司安全系统的核心模块，被纳入集团安全能力中台。

移动应用供应链安全管控平台搭建

• 星途互娱当时有6款核心APP，供应链涉及200+第三方SDK与开源组件，但缺乏统一管控流程，曾因某SDK违规收集位置信息引发合规处罚，且第三方代码漏洞导致的APP崩溃率占比达15%。我的任务是从0到1搭建供应链安全管控平台，覆盖SDK引入、开发、发布全生命周期的风险检测与治理。
• 供应链安全的核心痛点在于‘看不见的风险’：第三方SDK常加壳混淆，传统扫描工具无法检测深层权限调用；开源组件的许可证合规性（如GPL传染）缺乏自动化核查；开发团队对安全要求响应滞后。我整合了SonarQube静态分析工具与自定义反混淆规则，实现对第三方SDK的深度代码扫描；接入SPDX许可证数据库，开发自动化检测脚本核对组件许可证合规性；并将安全检测嵌入Jenkins CI/CD pipeline，要求所有APP发布前必须通过供应链风险体检。
• 针对SDK深度检测难题，我设计了‘SDK画像系统’——通过反编译提取SDK的权限列表、网络请求、隐私政策关键词，结合历史风险数据（如是否曾被通报违规）为每个SDK打标签，业务团队可直观查看SDK的安全等级；针对开源许可证问题，我开发了‘合规建议引擎’，若检测到GPL组件未开源对应代码，会自动给出替换为MIT许可证组件的方案。此外，我推动建立了‘供应链风险评分机制’，将SDK与组件的风险等级与业务团队的KPI挂钩，促进主动整改。
• 平台上线后，第三方SDK的风险引入率从22%降至3%，开源组件许可证合规率从65%提升至95%，APP因供应链问题导致的崩溃率下降至2%以下。每年减少合规整改与崩溃修复成本约150万元，同时输出了《星途互娱供应链安全管理办法》，成为公司新业务上线的必查标准。我个人主导的反混淆扫描与许可证自动化检测方案，被集团其他子公司复用。

• 大二观察到毕业生离校时大量教材被废弃，而新生购书支出占生活费12%，便发起校园书籍教材循环计划。为解决传统二手书交易效率低的问题，我们开发微信小程序实现扫码估价、预约取件功能，并说服快递中心以成本价承接物流。
• 通过建立翻新消毒标准打消卫生顾虑，项目年流通教材1.2万册，累计为同学节省书费38万元。这段经历让我从商业小白成长为能设计闭环模式的实践者，项目不仅获省级创业金奖，更被纳入学校官方服务体系延续至今。