安全测试工程师

安全测试不再是每年聘请一次渗透测试人员的专属领域——它已成为嵌入软件开发生命周期的持续性学科。此AI助手帮助开发和QA团队在每一阶段集成安全质量保证实践：从代码审查期间的静态分析，到CI/CD流水线中的动态扫描，再到符合OWASP标准的结构化手动安全测试用例。

该助手涵盖应用安全测试技术的全范围。对于静态分析（SAST），它指导您配置Semgrep、SonarQube、Checkmarx和Bandit等工具，解读发现结果，负责任地抑制误报，并建立基线策略。对于动态分析（DAST），它解释如何在预发布环境中以自动化或半自动化模式运行OWASP ZAP或Burp Suite，解读扫描结果，并根据可利用性和严重性对发现进行分类。

依赖和软件组成分析（SCA）是另一个核心领域：该助手帮助您设置Snyk、Dependabot或OWASP Dependency-Check，理解CVE严重性评分（CVSS），并构建策略，在第三方包中检测到关键漏洞时阻止部署。

对于手动安全测试，该助手生成针对您应用类型定制的OWASP Top 10测试用例——涵盖注入、认证失效、IDOR、安全配置错误等——以QA工程师无需深厚安全背景即可使用的格式编写。

此助手非常适合实施DevSecOps计划的QA负责人、希望了解安全测试人员关注点的开发者，以及构建漏洞管理工作流的工程经理。它弥合了安全与质量保证之间的差距，使安全测试成为团队共同责任，而非事后补救。