書(shū)寫(xiě)經(jīng)驗(yàn)73人覺(jué)得有用

寫(xiě)崗位職責(zé)的時(shí)候，得根據(jù)自己對(duì)工作的理解來(lái)寫(xiě)。安全測(cè)試這個(gè)工作，主要就是負(fù)責(zé)檢查軟件系統(tǒng)里有沒(méi)有安全隱患。這工作需要熟悉各種安全標(biāo)準(zhǔn)，比如iso27001之類(lèi)的，還要知道怎么用工具去掃描漏洞。平時(shí)得跟開(kāi)發(fā)團(tuán)隊(duì)保持聯(lián)系，他們改完代碼后，你要重新測(cè)一遍，確保沒(méi)新問(wèn)題冒出來(lái)。

有些時(shí)候，寫(xiě)崗位職責(zé)可能會(huì)忽略一些細(xì)節(jié)。比如，只寫(xiě)了要會(huì)用某種工具，但沒(méi)提具體的操作流程。這就容易讓人以為只要會(huì)用就行，其實(shí)背后還有很多門(mén)道。像滲透測(cè)試這種活兒，表面上看就是輸入命令，但要是不懂原理，根本不知道結(jié)果意味著什么。

還有一點(diǎn)要注意，崗位職責(zé)最好能反映日常工作中的重點(diǎn)。比如經(jīng)常要做風(fēng)險(xiǎn)評(píng)估，那就得強(qiáng)調(diào)這一點(diǎn)。但有時(shí)候?qū)懼鴮?xiě)著就漏了，只顧著寫(xiě)技術(shù)要求，忘了說(shuō)軟技能。像溝通能力，其實(shí)也很關(guān)鍵，畢竟要跟不同部門(mén)打交道。

書(shū)寫(xiě)注意事項(xiàng)：

寫(xiě)職責(zé)的時(shí)候，最好結(jié)合公司的實(shí)際情況。比如有的公司特別看重合規(guī)性，那職責(zé)里就得突出這一點(diǎn)。不然寫(xiě)得太籠統(tǒng)，面試的人看了也不知道該準(zhǔn)備什么。不過(guò)有時(shí)候?qū)懼鴮?xiě)著，就會(huì)把一些通用的東西寫(xiě)進(jìn)去，像是“負(fù)責(zé)日常的安全管理工作”，這樣的描述太模糊，沒(méi)什么實(shí)際意義。

寫(xiě)職責(zé)的時(shí)候，還可以加入一些具體的例子。比如有一次發(fā)現(xiàn)某個(gè)接口存在sql注入漏洞，是怎么找到的，又是怎么解決的。這樣能讓職責(zé)看起來(lái)更有說(shuō)服力。但有時(shí)候?qū)懙娜丝赡苡洸磺寮?xì)節(jié)，就隨便編個(gè)例子，這就容易出問(wèn)題。像“成功阻止了一次大規(guī)模攻擊”這種話，聽(tīng)起來(lái)很厲害，但要是沒(méi)有具體數(shù)據(jù)支撐，可信度就不高。

小編友情提醒：

寫(xiě)職責(zé)的時(shí)候，別忘了考慮長(zhǎng)遠(yuǎn)目標(biāo)。安全測(cè)試不是一天兩天就能做好的，得有計(jì)劃地推進(jìn)。比如定期更新知識(shí)庫(kù)，跟蹤最新的安全動(dòng)態(tài)。但有時(shí)候?qū)懙娜藭?huì)忘記這一點(diǎn)，只關(guān)注眼前的任務(wù)，忽略了長(zhǎng)期發(fā)展的重要性。

書(shū)寫(xiě)經(jīng)驗(yàn)24人覺(jué)得有用

寫(xiě)崗位職責(zé)的時(shí)候，得結(jié)合具體的工作環(huán)境和需求。比如安全測(cè)試專(zhuān)家這個(gè)崗位，需要特別注重細(xì)節(jié)。日常工作里，得確保系統(tǒng)的安全性，這包括檢查軟件有沒(méi)有漏洞，評(píng)估潛在的風(fēng)險(xiǎn)。平時(shí)要經(jīng)常做滲透測(cè)試，看看系統(tǒng)能不能經(jīng)得起攻擊。遇到問(wèn)題了，要及時(shí)找出原因，然后給出解決方案。

有時(shí)候，寫(xiě)崗位職責(zé)容易忽略一些小環(huán)節(jié)，像是不僅要會(huì)用專(zhuān)業(yè)的工具進(jìn)行掃描，還要能解讀結(jié)果。這就需要對(duì)各種技術(shù)都熟悉，尤其是那些常用的開(kāi)源工具。另外，還得學(xué)會(huì)分析日志文件，從里面找到蛛絲馬跡。要是只顧著表面工作，沒(méi)深入進(jìn)去，可能就會(huì)漏掉關(guān)鍵點(diǎn)。

安全測(cè)試專(zhuān)家還要參與制定公司的安全策略，確保所有的流程都符合標(biāo)準(zhǔn)。這涉及到跟其他部門(mén)溝通協(xié)調(diào)，有時(shí)候可能會(huì)因?yàn)闇贤ú坏轿粚?dǎo)致進(jìn)度受影響。所以，既要懂技術(shù)，又得會(huì)協(xié)調(diào)。不過(guò)，寫(xiě)職責(zé)的時(shí)候，容易把這一點(diǎn)寫(xiě)得過(guò)于簡(jiǎn)略，只是籠統(tǒng)地說(shuō)負(fù)責(zé)安全相關(guān)的事情。

除了日常的技術(shù)工作，還可能需要培訓(xùn)團(tuán)隊(duì)成員，提升大家的安全意識(shí)。這不僅僅是教他們?cè)趺床僮?，更重要的是讓大家明白為什么要做這些事情。寫(xiě)職責(zé)時(shí)，這部分容易被一筆帶過(guò)，覺(jué)得這只是附加任務(wù)，其實(shí)這是很重要的環(huán)節(jié)。

寫(xiě)職責(zé)的時(shí)候，要注意別遺漏一些關(guān)鍵點(diǎn)，比如需要定期更新知識(shí)庫(kù)，保持對(duì)最新安全威脅的敏感度。還有，對(duì)于突發(fā)事件，要有快速響應(yīng)的能力。如果寫(xiě)得太模糊，可能會(huì)影響后續(xù)的工作安排。不過(guò)，寫(xiě)作者可能會(huì)不小心用錯(cuò)詞，比如把“風(fēng)險(xiǎn)評(píng)估”寫(xiě)成“風(fēng)險(xiǎn)評(píng)估報(bào)告”，雖然不影響理解，但還是要注意準(zhǔn)確性。

有時(shí)候，職責(zé)里會(huì)提到需要參與外部審計(jì)，確保公司合規(guī)。這要求對(duì)法律法規(guī)有一定的了解，不然可能會(huì)在審計(jì)時(shí)出現(xiàn)問(wèn)題。寫(xiě)的時(shí)候，容易把這部分寫(xiě)得太過(guò)籠統(tǒng)，沒(méi)有突出具體的要求。另外，還需要關(guān)注最新的安全動(dòng)態(tài)，這樣才能提前做好準(zhǔn)備，避免被動(dòng)應(yīng)對(duì)。

書(shū)寫(xiě)經(jīng)驗(yàn)75人覺(jué)得有用

安全測(cè)試這個(gè)崗位，得先把工作內(nèi)容說(shuō)清楚，別一上來(lái)就套模板。比如，你要負(fù)責(zé)各種系統(tǒng)的漏洞掃描，這事得明明白白寫(xiě)出來(lái)，不是說(shuō)個(gè)大概就行。還有日常的安全評(píng)估，這個(gè)不能含糊，具體到哪種系統(tǒng)、哪種環(huán)境都要交代好。要是涉及滲透測(cè)試的話，那得強(qiáng)調(diào)下是主動(dòng)出擊找漏洞，還是被動(dòng)響應(yīng)處理問(wèn)題。

書(shū)寫(xiě)注意事項(xiàng)：

關(guān)于職責(zé)這塊兒，不能光寫(xiě)一堆理論，得結(jié)合實(shí)際場(chǎng)景。像某次公司新上線了個(gè)業(yè)務(wù)系統(tǒng)，你就得寫(xiě)清楚當(dāng)時(shí)是怎么做的，用了什么工具，發(fā)現(xiàn)了哪些隱患，最后怎么整改的。這樣寫(xiě)出來(lái)的內(nèi)容才夠真實(shí)，不然看著像是假大空。

至于任職要求，可不能太籠統(tǒng)。比如，要求懂python編程，這不是隨口說(shuō)說(shuō)，得具體到某個(gè)框架或者庫(kù)的應(yīng)用場(chǎng)景。像django這種web開(kāi)發(fā)框架，得明確提到，因?yàn)楹芏喟踩珳y(cè)試都繞不開(kāi)它。再比如對(duì)linux系統(tǒng)的熟悉程度，不能只說(shuō)熟練，得細(xì)化到能獨(dú)立完成運(yùn)維任務(wù)才行。

還有就是證書(shū)這塊兒，不是說(shuō)有證就行，得結(jié)合實(shí)際工作需要。像cissp這種國(guó)際認(rèn)證，確實(shí)牛，但得看崗位是不是真需要。如果只是做個(gè)簡(jiǎn)單的滲透測(cè)試，那拿個(gè)基礎(chǔ)級(jí)的owasp認(rèn)證可能就夠了。千萬(wàn)別上來(lái)就說(shuō)“必須持有某某高級(jí)證書(shū)”，這種話聽(tīng)著就不太靠譜。

寫(xiě)的時(shí)候，也別太死板，稍微有點(diǎn)小瑕疵也沒(méi)關(guān)系。比如有時(shí)候會(huì)寫(xiě)成“確保網(wǎng)絡(luò)設(shè)備正常運(yùn)行”，這其實(shí)挺模糊的，不如改成“保障網(wǎng)絡(luò)設(shè)備穩(wěn)定運(yùn)行”，雖然改動(dòng)不大，但讀起來(lái)順耳多了。再比如提到工具使用時(shí)，可能會(huì)寫(xiě)成“熟練掌握多種安全工具”，這種表達(dá)雖然沒(méi)錯(cuò)，但總覺(jué)得差點(diǎn)什么，換成“能夠靈活運(yùn)用多種安全工具”就顯得更有深度了。

書(shū)寫(xiě)經(jīng)驗(yàn)101人覺(jué)得有用

寫(xiě)崗位職責(zé)的時(shí)候，得結(jié)合具體的工作場(chǎng)景和需求。比如說(shuō)安全測(cè)試專(zhuān)家這個(gè)崗位，就得突出專(zhuān)業(yè)技能和實(shí)際操作能力。這崗位需要熟悉各種安全測(cè)試流程，包括漏洞掃描、滲透測(cè)試這些基本功。還有，得掌握主流的安全工具，像什么burp suite、nmap之類(lèi)的，這些都是日常工作中會(huì)頻繁用到的。

有時(shí)候?qū)戇@類(lèi)職責(zé)描述，容易忽略細(xì)節(jié)。像說(shuō)負(fù)責(zé)系統(tǒng)的安全評(píng)估，其實(shí)后面還得補(bǔ)充一句，包括制定相應(yīng)的安全策略。這一步特別關(guān)鍵，因?yàn)闆](méi)有明確的安全策略，后續(xù)的工作就可能缺乏方向感。而且，還應(yīng)該提到定期組織內(nèi)部培訓(xùn)，提高團(tuán)隊(duì)的整體技術(shù)水平。這事聽(tīng)起來(lái)簡(jiǎn)單，做起來(lái)可不容易，畢竟每個(gè)人的理解和接受能力都不一樣。

書(shū)寫(xiě)注意事項(xiàng)：

這份工作還需要處理一些突發(fā)事件，像突然爆發(fā)的安全事件，這時(shí)候就得迅速響應(yīng)，排查問(wèn)題根源。這期間可能會(huì)涉及跟其他部門(mén)的協(xié)調(diào)，所以溝通技巧也得過(guò)硬。要是碰上大型項(xiàng)目，那更是考驗(yàn)綜合能力的時(shí)候了，不僅要確保每個(gè)環(huán)節(jié)不出差錯(cuò)，還得保證進(jìn)度按時(shí)完成。

再說(shuō)到任職要求這塊，就不能光列一堆證書(shū)了事。除了要求具備相關(guān)的技術(shù)認(rèn)證，比如cissp、cisp之類(lèi)的，還應(yīng)該強(qiáng)調(diào)實(shí)際工作經(jīng)驗(yàn)的重要性。畢竟紙上談兵不行，得有實(shí)戰(zhàn)經(jīng)驗(yàn)才行。而且，對(duì)候選人的性格特質(zhì)也要有所考量，比如責(zé)任心強(qiáng)、抗壓能力強(qiáng)這些軟實(shí)力，都是必不可少的。

有時(shí)候?qū)懙竭@里，可能會(huì)不小心把“抗壓能力”寫(xiě)成“抗壓力”，雖然不影響理解，但仔細(xì)看的話還是能察覺(jué)出來(lái)。還有就是，別忘了提一下候選人需具備良好的文檔編寫(xiě)習(xí)慣，因?yàn)榘踩珳y(cè)試的結(jié)果往往需要形成詳細(xì)的報(bào)告，供管理層參考。如果報(bào)告寫(xiě)得含糊不清，后續(xù)的工作就會(huì)很麻煩。

書(shū)寫(xiě)經(jīng)驗(yàn)91人覺(jué)得有用

寫(xiě)崗位職責(zé)的時(shí)候，得結(jié)合具體的工作內(nèi)容和要求，不能太籠統(tǒng)。比如產(chǎn)品安全測(cè)試這個(gè)崗位，就該詳細(xì)列出具體的任務(wù)。像什么負(fù)責(zé)產(chǎn)品的安全性評(píng)估，確保產(chǎn)品符合相關(guān)的安全標(biāo)準(zhǔn)呀，這些都是基本的內(nèi)容。還有就是檢查產(chǎn)品在不同環(huán)境下的表現(xiàn)，看看有沒(méi)有潛在的安全隱患，這也很重要。

再說(shuō)了，崗位職責(zé)里最好能提到一些具體的操作流程。比如，要對(duì)產(chǎn)品進(jìn)行一系列的檢測(cè)，包括但不限于壓力測(cè)試、溫度適應(yīng)性測(cè)試之類(lèi)的。每個(gè)步驟都得有明確的要求，這樣員工才知道該怎么去做。要是能加上一些注意事項(xiàng)就更好了，比如在測(cè)試過(guò)程中要注意個(gè)人防護(hù)，避免發(fā)生意外。

有時(shí)候，為了保證工作的順利進(jìn)行，還得和其他部門(mén)保持良好的溝通。比如和研發(fā)那邊確認(rèn)一下產(chǎn)品的設(shè)計(jì)細(xì)節(jié)，了解清楚產(chǎn)品的功能特點(diǎn)，這樣才能有針對(duì)性地開(kāi)展測(cè)試工作。另外，記錄測(cè)試結(jié)果也是必不可少的環(huán)節(jié)，這些資料日后可能要用到，所以一定要妥善保存。

不過(guò)，在寫(xiě)這些東西的時(shí)候，有時(shí)候會(huì)不小心漏掉一些關(guān)鍵點(diǎn)。比如，我在寫(xiě)這份職責(zé)的時(shí)候，可能忘記強(qiáng)調(diào)測(cè)試報(bào)告需要及時(shí)提交給上級(jí)審核這一點(diǎn)。這種事情偶爾會(huì)發(fā)生，主要是因?yàn)槿嗽趯?xiě)東西的時(shí)候，腦子里想的事情太多，一不留神就把重要的部分給忽略了。

再者說(shuō)，寫(xiě)職責(zé)的時(shí)候，措辭也要講究。不能太死板，也不能太隨意。像“嚴(yán)格執(zhí)行各項(xiàng)安全規(guī)定”這樣的表述就有點(diǎn)過(guò)于官方了?？梢愿某伞鞍凑展镜陌踩?guī)定執(zhí)行相關(guān)操作”，這樣聽(tīng)起來(lái)更接地氣一點(diǎn)。不過(guò)這種改動(dòng)也不是絕對(duì)必要的，主要看公司內(nèi)部的習(xí)慣和文化。

小編友情提醒：

記得要把職責(zé)寫(xiě)得具體些，別光喊口號(hào)。像“提升產(chǎn)品質(zhì)量”這樣的說(shuō)法就太空泛了，不如直接說(shuō)清楚要通過(guò)哪些具體措施來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)，比如定期組織培訓(xùn)，提高團(tuán)隊(duì)的專(zhuān)業(yè)水平，這樣才更有實(shí)際意義。

書(shū)寫(xiě)經(jīng)驗(yàn)99人覺(jué)得有用

安全測(cè)試這個(gè)崗位，說(shuō)白了就是專(zhuān)門(mén)挑刺兒的，得盯著系統(tǒng)里那些看不見(jiàn)的漏洞。寫(xiě)崗位職責(zé)的時(shí)候，得先弄清楚具體負(fù)責(zé)什么。比如，檢查軟件有沒(méi)有安全隱患，這事肯定得放在前面說(shuō)。有時(shí)候領(lǐng)導(dǎo)可能覺(jué)得這事太基礎(chǔ)，但其實(shí)它重要得很，要是這兒沒(méi)做好，后面出事了就麻煩了。

測(cè)試的時(shí)候得會(huì)用各種工具，像什么滲透測(cè)試工具之類(lèi)的。挺復(fù)雜的，不是隨便拿個(gè)軟件就能搞定的。要是寫(xiě)職責(zé)，就得提到要用這些工具去模擬黑客攻擊，看看系統(tǒng)能不能扛得住。不過(guò)，有時(shí)候?qū)懼鴮?xiě)著就容易漏掉細(xì)節(jié)，比如忘記提一下要記錄下每次測(cè)試的結(jié)果，這樣以后好回頭找問(wèn)題在哪。

再就是跟開(kāi)發(fā)那邊的合作也很關(guān)鍵。安全測(cè)試不是一個(gè)人的事，得經(jīng)常跟開(kāi)發(fā)溝通，告訴他們哪里有隱患。有時(shí)候溝通起來(lái)挺費(fèi)勁的，因?yàn)樗麄兛赡苡X(jué)得改代碼麻煩，但咱得堅(jiān)持立場(chǎng)，畢竟安全這事馬虎不得。不過(guò)有時(shí)候?qū)懧氊?zé)的時(shí)候，可能會(huì)不小心把這段話寫(xiě)得太簡(jiǎn)略，像是“協(xié)助開(kāi)發(fā)解決問(wèn)題”，這就有點(diǎn)模糊不清了。

得定期做培訓(xùn)，提高自己的技能。這工作不是一成不變的，技術(shù)更新?lián)Q代快，不學(xué)新東西很快就會(huì)被淘汰。寫(xiě)職責(zé)的時(shí)候，別忘了加上這一條，不然顯得職責(zé)范圍太窄了。不過(guò)有時(shí)候?qū)懼鴮?xiě)著就容易忘掉這一點(diǎn)，因?yàn)榇蠹叶加X(jué)得培訓(xùn)是額外的事，寫(xiě)的時(shí)候就忽略了。

小編友情提醒：

安全測(cè)試還得參與應(yīng)急預(yù)案的制定。萬(wàn)一系統(tǒng)真的被攻破了，得有應(yīng)對(duì)措施。這事聽(tīng)起來(lái)挺嚴(yán)肅的，寫(xiě)職責(zé)的時(shí)候可別輕描淡寫(xiě)地說(shuō)“參與制定預(yù)案”就行，得具體點(diǎn)，比如要熟悉應(yīng)急流程，知道在緊急情況下該怎么做。不過(guò)有時(shí)候?qū)懧氊?zé)的時(shí)候，可能會(huì)不小心漏掉這部分內(nèi)容，總覺(jué)得這些是額外的要求，其實(shí)不然，這些都是本職工作的一部分。