职位描述:候选人负责建立、实施、监控、审查和改进所有适合的控制措施,以预防对客户应用程序和信息资产安全的威胁,确保组织的业务目标。应严格按照国际安全标准(如 OWASP、SANS 等)对所有范围进行测试、扫描、审计和重新测试。
职责和范围:
申请者应具有 5 年以上的 Web 应用程序和移动应用程序安全、网络和云基础设施安全、漏洞评估和渗透测试的经验。
在 Android 和 IOS 平台上对多个应用程序进行攻击模拟,利用安全缺陷和漏洞。
为已识别的漏洞提供修复指导。
对 Web 应用程序、API 和移动应用进行手动和自动安全测试。
使用自动化和手动代码审查技术识别应用程序安全漏洞。
识别复杂的漏洞,如业务逻辑缺陷,并向技术和非技术合作伙伴阐述。
记录和报告漏洞,并定期进行漏洞缓解和修补。
分析应用程序安全政策的有效性,提出安全政策改进建议,并努力增强方法论材料。
开发和维护安全测试计划,并在应用程序、系统、网络和数据层上自动化渗透和其他安全测试。
开发有意义的指标,以反映环境的真实状态,使组织能够根据潜在的安全威胁和风险做出决策。
制作可操作的、基于威胁的安全测试结果报告。
与关键利益相关者和安全合作伙伴建立和维护关系。
必须具备:
候选人应具备良好的团队合作精神和人际交往能力,并能够在复杂的基础设施环境中独立工作,且需最少监督。
认证:OSCP、OSWE 或其他任何安全认证。
应为自我驱动、自我管理的技术团队领导者。
能够清晰地沟通需求和要求,并在最少监督下影响利益相关者。
能够准确估计工作量,设定并满足定期交付截止日期。
在红队演习、威胁狩猎、开源情报、威胁建模和构建安全工具方面的研究和开发经验将是一个很大的加分项。
对 DevSecOps、安全架构审查和网络安全评估有良好的理解将是额外的优势。
具备技术的实践经验,并能为项目的设计、开发和支持贡献安全建议。
额外加分:
良好的问题解决能力,良好的沟通和文档技能。
能够预见需求并提供创造性意见,以确保更广泛团队的成功。
熟练阅读现代编程语言,能够快速学习阅读和解释他人编写的脚本。
能够领导和推动多个项目。
职位数量:4
注意:候选人需在多样化的咨询项目中工作,并愿意至少 50% 的时间前往中东国家进行项目执行。
优先考虑能够立即加入或最多在 15 天内加入的候选人。
就业类型:全职
行业:信息技术与服务
就业类型:全职 
