我们目前正在寻找一位具有应用程序安全性特定经验的安全架构师/设计工程师。这是为了加入我们的一家金融服务客户的现有团队。申请人需要每周三天到客户办公室上班;地点可以选择爱丁堡/谢菲尔德/伯明翰/曼彻斯特。
该角色将涉及管理端到端解决方案设计,并根据功能和非功能业务需求、策略、原则、标准和模式交付设计文档。除了创建高层设计外,您还需要在适当情况下发布新的架构模式、关键决策、设计偏差以及技术风险和问题。
在应用程序安全性方面具有丰富经验和经过验证的技术深度:
- 拥有保护现代应用程序架构(微服务、云原生、容器化环境)的实际经验。
- 了解SCA工具和方法(例如,依赖性分析、开源许可证合规性、漏洞分类、供应链风险管理)。
- 深入实施和优化AST能力的经验,包括SAST、DAST、IAST、MAST和容器/K8s安全扫描。
- 在CI/CD环境(GitHub Actions、GitLab、Jenkins、Azure DevOps等)中设计和集成安全测试管道方面取得成功。
- 在威胁建模、安全SDLC设计以及为代码、依赖项和构建系统建立基于风险的安全策略方面具有扎实背景。
- 能够评估、选择和架构AppSec技术,包括企业SCA/AST平台、SBOM解决方案和漏洞管理工作流程。
- 有与工程团队合作的经验,以优先处理和修复漏洞,提供安全编码指导,并启用以开发人员为中心的安全实践。
- 熟悉行业框架和标准(OWASP SAMM、ASVS、CSA、NIST SSDF、供应链安全框架如SLSA)。
- 在漏洞和暴露管理方面具有检测、分析、管理和解决活动的经验。
在网络安全方面的经验:
- 分段和微分段及其对漏洞扫描的影响。
- 定义和执行安全网络操作的策略以及适当的漏洞扫描访问。
- 建立适当的日志记录以监控和分析网络流量以检测和响应威胁。
在信息技术方面具有广泛背景,能够以舒适的水平与非安全技术SME清晰沟通。
对企业和解决方案架构之间角色和互锁的经验和理解。
在运营和转型网络安全角色方面的经验或对这两个视角的明确工作理解。
在大规模IT转型计划中工作的经验。
能够管理技术设计权限职责的控制分离 - 在技术和安全设计权限中代表,以确保解决方案是安全的。
确保遵守安全控制以识别控制差距、制定补救计划并确定地方和国家计划中的剩余风险的经验。
平台与技术
- 具有Checkmarx、Invicti、Snyk、BlackDuck、Tenable或其他相关应用程序安全的经验
- BizzDesign、Archi或通用UML可视化高层设计的经验
- 在Jira中具有高水平的项目和任务管理能力
- 在Confluence中具有工作文档的工作熟练度
架构与设计
- 提供解决方案设计的保证、支持和监督,并支持工程团队交付和执行战略技术部署。
- 确保解决方案设计与已发布的参考架构一致。
- 为其安全领域内的变革性工作计划提供技术专长和咨询。
- 清楚了解业务动机和技术安全。
治理
- 愿意并能够向设计权限展示参考架构,并在大型论坛和小型深入会议中向广泛的利益相关者阐述深刻的技术概念。
- 确保所有参考架构、高层设计、架构模式、决策记录、偏差请求以及技术风险或问题记录经过架构和项目治理流程。
- 确保所有架构工件在设计权限展示前经过适当的同行评审。
- 在技术设计权限中展示出版物以获取输入、反馈和批准。
风险和依赖管理
- 有效管理和升级技术和项目风险或问题。
- 阐述技术风险和问题的解决方案和补救步骤。
- 能够将设计决策映射到结果技术风险和问题,以阐明导致任何负面影响变化的原因和理由。
安全设计工程师将与包括相关企业架构师在内的利益相关者合作,以确保交付中的设计决策符合战略方向。
安全设计工程师应能够在设计权限和高级领导层及利益相关者中展示和分享解决方案。
为其对齐的项目提供技术思想领导和方向,并可能作为相关计划的主题专家和顾问。
