职位:Python/Django 高级应用安全工程师(混合工作 - 美国)
您是否有兴趣加入一家不断成长的公司,与才华横溢的同事们一起工作,提升支持性和充满活力的文化,并成为气候解决方案的一部分?在能源解决方案公司,我们专注于重大影响。我们相信,基于市场的项目可以成为提供大规模能源、碳和水使用节约的强大力量。自1995年以来,我们利用这一力量为我们的公用事业、政府和机构客户提供经过验证的基于绩效的解决方案。
摘要:
我们正在寻找一位高级应用安全工程师,他将与我们的开发团队合作,管理我们内部开发的应用程序的安全性和风险。该工程师将基于风险的决策应用安全,包括推荐和验证控制措施,参与应用安全控制的设计和升级,并领导一些新项目以进一步保护我们的平台。此角色主要集中在执行和咨询,但应熟悉路线图和战略,并在适当的地方做出贡献。
必须具备阅读、审查并对安全的Django/Python模式提出建议的能力。
职责:
• 为我们内部应用程序的应用安全路线图做出贡献 - 优先考虑风险并在代码库、应用层和Dev Ops之间排列工作顺序。
• 与工程师咨询,传达需求,创建可操作的任务/验收标准,并推动采用。
• 进行以安全为重点的拉取请求审查,提供重构指导,并以清晰的理由批准/拒绝。
• 担任SAST/扫描的管理员:审查静态代码扫描结果,分类发现,消除噪音,并推动所有者进行修复。
• 在Django/Python中构建参考实现(即身份验证模式、输入验证、密钥处理、速率限制、基于地理的访问),而不直接负责生产功能开发。
• 将SOC 2/NIST映射到工程工作:将需求转化为故事、控制和CI/CD中的自动证据。
• 威胁建模与架构:导航库/架构并记录团队遵循的安全模式(ADRs/RFCs)。
• 监督软件交付生命周期(SDLC)中的安全相关任务,以确保软件开发活动保持合规。
• 与软件开发人员和代码库负责人合作。
• 在业务(即安全、隐私、合规)与开发团队之间充当技术需求的联络人。
• 作为安全架构的主题专家参与,包括新设计和设计审查。
• 根据最佳实践、OWASP标准和其他Web应用安全框架,建议应用安全改进。
• 审查架构和合规相关的代码更改对安全的影响。
• 确保遵守所有公司安全政策和标准。
• 管理和维护所有与安全相关的任务,包括建议、测试和验证。
资格:
• 至少5年的应用安全经验。
• 在Django/Python方面的实践和实施,具有明确的应用安全重点(生产经验和影响,而非理论)。
• 工程背景(软件或Dev Ops/SRE),具备阅读/修改代码、审查PR和构建PoC的能力。
• 具备Git Hub安全经验,包括审查静态代码扫描、分类发现、消除噪音,并推动所有者进行修复。
• 在基于Git的工作流和CI/CD中嵌入安全SDLC的经验(预提交、管道门、政策即代码)。
• 具备SOC 2的实用知识,并熟悉NIST 800-53;能够将需求转化为技术任务和证据。
• 能够跨代码、应用和Dev Ops(容器、IaC基础、密钥、日志/监控)操作。
• 清晰、有说服力的沟通能力(口头和书面)和优先级管理能力。
• 出色的时间管理技能,具备按时完成任务的能力。
• 优秀的人际交往和谈判能力。
优先资格:
• 计算机科学学士学位或相关工作经验优先。
• CISSP、GIAC、Security+、AWS安全及其他相关安全认证。
• 之前的报告经验... 
