职位名称
应用安全 - Web API和安全代码审查。
描述
组织单位目的:
该单位的主要目的是将实用和平衡的网络/信息安全原则/模式/控制设计、工程化并最终嵌入到所有产品和平台中。进行安全评估、差距分析,为相关小组/利益相关者提供修复措施。
职责
主要/一般工作目标:
• 鼓励“向左移动”的思维方式 - 积极地从开发周期开始影响安全和隐私模式的实施,嵌入安全要求。
• 通过影响实施来实施 - 影响利益相关者,如产品所有者、解决方案架构师、开发人员、测试人员、工程师和其他人员,将安全模式包含到功能、史诗和故事中,以构建安全、创新和优质的数字产品,为客户和员工提供服务。
• 评估 - 进行安全评估和差距分析,为团队提供适当的修复措施。
• 关键技能 - Web应用安全、安全代码审查、API安全。
• 工具和技术 - Burp Suite、Postman、Tenable Nessus、Checkmarx SAST、GitHub,对微服务架构和基于流水线的安全有良好的了解。
资格
应用安全评估技能集:
• Web应用安全 - Owasp前10名、CVSS等。
• 安全代码审查 - 在Git等中进行手动代码审查。
• API安全审查 - OpenShift、容器审查等。
软技能:
• 能够与多个利益相关者合作并从安全角度管理他们的期望。
• 全面思考;必须在实用可证明的情况下平衡安全和功能,同时贡献和实施“良好的架构原则”以降低技术债务。
• 断言性格;应能够在项目委员会或工作小组设置中坚持自己的观点。
• 出色的书面和口头沟通能力;应能够以易于理解的方式解释技术观察。
• 能够在压力下工作并满足严格/具有挑战性的截止日期。
• 影响者 - 必须能够说服各种利益相关者(内部IT团队、高级主管、风险和审计),解释为什么某个观察结果是一个问题或不是一个问题。
• 对风险管理框架和安全控制的实施有深入了解。
• 具有较强的决策能力、规划能力和时间管理能力。
• 能够独立工作。
• 具有积极和建设性的态度。
• 经验:3-8年。
教育
• 计算机相关领域的学士学位,如计算机科学、网络/信息安全学科、物理学、数学或类似学科。
• 一般信息安全:OSCP、CEH、CISM/CISA或类似证书。
• 一般云安全:CCSK / CCSP或类似证书。
• 特定云安全:Azure安全或类似证书。
• 网络安全:CCNA、CCNP、CCIE、认证的Kubernetes安全专家。
• 必须具有至少3年的信息安全职能经验,具备良好的信息技术、利益相关者管理和人员管理背景。
• 精通Web应用安全测试,具有深入的测试技能,并能绕过弱实现进行攻击,能够绕过WAF进行攻击,如XSS、SQL注入等。
• 对基于微服务的架构(技术)有良好的理解。
• 具有解决涉及外围保护、核心保护和端点保护/检测以及API/微服务安全的技术架构的实际经验。
• 在具有持续集成、容器、DAST/SAST工具和构建恶意故事(技术)知识的DevOps环境中工作经验。
• 分析师/工程师具备遵循设计原则并应用设计模式以实施可维护和可重用模式的技能,以代码或其他形式。
• 分析师/工程师能够理解和解释源代码或编译代码中发现的潜在问题。
• 分析师/工程师具备脚本编写或类似的自动化技能/能力。
• 分析师/工程师能够攻击应用程序和基础设施资产,解读威胁,并提出减轻措施。
• 能够解释监督职能规定的安全要求,并通过文档、高级设计和/或敏捷仪式(通过恶意故事)确保全面覆盖这些要求。
• 分析师/工程师可以提出解决安全要求/模式的选择,以在安全、用户体验和性能之间取得平衡。
• 分析师/工程师具备与其他架构、安全、开发和领导团队讨论和展示解决方案的能力。
• 分析师/工程师能够解释和理解漏洞评估报告,并根据这些报告的评估计算固有风险和/或剩余风险。
• 能够表达并成为高级管理团队的有影响力的领导者。良好的谈判技巧将是可取的。
• 必须具备良好的判断能力,以决定例外批准。
• 能够通过影响而不是监管措施来强化改进。
• 出色的书面和口头沟通能力,以有效地向技术或非技术利益相关者传达安全威胁和建议。
• 熟悉敏捷方法论/原则,如Scrum或看板的应用。
行为能力:
• 团队/小组的影响者/安全传教士
• 积极和建设性的态度
• 自主工作者/决策者
• 善于倾听
• 在紧张的情况下保持耐心和冷静
• 高能量的个体/激励者
• 双赢的态度
• 黑客/深度防御思维
• 分析思维
• 团队合作/人际交往能力
• 注重细节
• 持久而有说服力
• 有组织/有结构
• 以截止日期为导向
• 能干和承诺
• 人际关系圆满;理解利益相关者管理
• 有同情心
• 对构建智能解决方案充满激情
• 创新者/开拓思维者
• 合作领导风格
• 自信的演讲者
个人简介:
• 年龄 - 不限
• 国籍 - 不限
• 性别 - 不限
招聘组织
雇佣类型
全职
工作地点
迪拜,阿联酋
发布日期
2023年12月14日
有效期至
2024年1月14日 
Dubai