مهندس أمان التطبيقات

الأدوار والمسؤوليات

ستعمل في بيئة DevSecOps سريعة الخطى حيث يحدث تغيير الكود بسرعة كبيرة وحيث يكون من الأهمية بمكان التحكم في اختبار الأمان في تدفق نشر/تكامل مستمر.

في هذا الدور، ستتمكن من:

لعب دور قيادي في تطوير وتصميم عناصر التحكم والمعايير الأمنية على مستوى التطبيق.

إجراء مراجعات تصميم أمان التطبيق ضد المنتجات والخدمات الجديدة.

تتبع جميع مشكلات الأمان وإعطائها الأولوية.

بناء أدوات أمان داخلية تساعد في إصلاح مشكلات الأمان على نطاق واسع.

إجراء مراجعة الكود ودفع إصلاح المشكلات المكتشفة.

تمكين اختبار الأمان الآلي على نطاق واسع لقياس نقاط الضعف والإبلاغ عن المخاطر عبر جميع منصات الخدمات المصغرة والويب والجوال.

تنفيذ اختبارات الأمان على آلاف الخوادم المنتشرة عبر مراكز البيانات المحلية والسحابية العامة.

ما ستحتاجه للنجاح:

أسس قوية في هندسة البرمجيات.
ما لا يقل عن 7 سنوات من الخبرة الفنية في أي مجموعة من المجالات التالية: خبرة في نمذجة التهديدات، والترميز الآمن، وإدارة الهوية والمصادقة، وتطوير البرمجيات، والتشفير، وإدارة النظام، وأمان الشبكة.
خبرة لا تقل عن عامين في دورة حياة تطوير البرمجيات بلغة واحدة أو أكثر (Rust، Python، Go، Nodejs، إلخ.)
خبرة لا تقل عن عام واحد في بيئات السحابة العامة/الخاصة (Openshift، Rancher، K8s، AWS، GCP، Azure، إلخ.)
خبرة في إجراء التقييمات باستخدام OWASP MASVS وASVS
المعرفة العملية باستغلال وإصلاح نقاط الضعف في التطبيقات
خلفية قوية في نمذجة التهديدات
معرفة متعمقة بنقاط الضعف الشائعة في تطبيقات الويب (أي OWASP Top 10)
المعرفة بالماسحات الضوئية الديناميكية الآلية، وأجهزة التمويه، وأدوات الوكيل
عقل تحليلي لحل المشكلات، والفكر المجرد، وتكتيكات الأمن الهجومية
مهارات اتصال فعالة للغاية، سواء في أشكال شفهية أو مكتوبة، لنقل المفاهيم الفنية وغير الفنية بشكل فعال إلى مجموعة واسعة من الجماهير
يتم توفير حزمة النقل في حالة تفضيلك الانتقال إلى بانكوك، تايلاند. مزايانا هي...
نموذج العمل الهجين
بدل إعداد العمل من المنزل
30 يومًا من العمل عن بُعد من أي مكان حول العالم كل عام
خصم للموظفين على الإقامة على مستوى العالم
فريق عالمي يضم أكثر من 90 جنسية
أكثر من 40 مكتبًا وأكثر من 25 دولة
إجازة سنوية للمسؤولية الاجتماعية للشركات/التطوع
اشتراك Benevity لتبرعات الموظفين
فرص التطوع على مستوى العالم
اشتراك مجاني في Headspace
اشتراكات مجانية في Odilo وUdemy
الوصول إلى برنامج مساعدة الموظفين (طرف ثالث للدعم الشخصي وفي مكان العمل)
إجازة أبوية معززة
تأمين على الحياة والعجز الكلي الدائم والحوادث

الملف الشخصي المرغوب للمرشح

اختبار الأمان وتقييم الثغرات الأمنية:

اختبار أمان التطبيقات الثابتة (SAST): قم بإجراء تحليل ثابت للكود لتحديد الثغرات الأمنية في الكود المصدر في وقت مبكر من دورة حياة التطوير، قبل تنفيذ الكود.

اختبار أمان التطبيقات الديناميكي (DAST): استخدم أدوات آلية وتقنيات يدوية لمحاكاة الهجمات على التطبيقات قيد التشغيل لتحديد الثغرات الأمنية مثل حقن SQL وبرمجة النصوص عبر المواقع (XSS) وتخزين البيانات غير الآمن.

اختبار الاختراق: قم بإجراء اختبارات اختراق يدوية وآلية لاستغلال الثغرات الأمنية في التطبيقات والإبلاغ عن النتائج. يساعد هذا في محاكاة الهجمات الإلكترونية في العالم الحقيقي لتقييم قوة تدابير الأمان.

نمذجة التهديدات: العمل مع فرق التطوير لإجراء تمارين نمذجة التهديدات، وتحديد التهديدات الأمنية المحتملة والنقاط الضعيفة في بنية التطبيق وتصميمه.

إدارة الثغرات الأمنية:

تحديد العيوب الأمنية: العمل مع فرق التطوير والعمليات لتحديد العيوب الأمنية في التطبيقات والتأكد من معالجتها قبل الإصدار.
تحديد أولويات الثغرات الأمنية: تقييم شدة الثغرات الأمنية ومخاطرها، وتقديم الإرشادات بشأن العيوب التي يجب تحديد أولوياتها بناءً على التأثير المحتمل وقابلية الاستغلال.
إصلاح الثغرات الأمنية والتخفيف من حدتها: التعاون مع المطورين لتنفيذ الإصلاحات للثغرات الأمنية المحددة، وضمان تطبيق التصحيحات اللازمة دون المساس بوظائف التطبيق.
تصميم وهندسة الأمان:

ممارسات الكود الآمن: تعزيز تبني ممارسات الكود الآمن وتقديم الإرشادات حول كتابة الكود الآمن لمنع ظهور الثغرات الأمنية أثناء التطوير.
هندسة الأمان: التأكد من دمج الأمان في هندسة البرمجيات، بما في ذلك آليات المصادقة الآمنة والتشفير وضوابط الوصول الآمن.
دمج أدوات الأمان: العمل مع فرق DevOps لدمج أدوات الأمان في خط أنابيب التكامل المستمر/النشر المستمر (CI/CD) لاختبار التطبيقات تلقائيًا بحثًا عن الثغرات الأمنية طوال التطوير.
الاستجابة للحوادث والتحقيق فيها:

الاستجابة للحوادث الأمنية: التحقيق في حوادث أمن التطبيقات، بما في ذلك خروقات الأمن، وتسرب البيانات، واستغلال الثغرات الأمنية. العمل مع فرق الاستجابة للحوادث لاحتواء الأضرار والتخفيف منها.

التحليل بعد الحادث: إجراء مراجعات ما بعد الحادث لتحديد ما حدث خطأ والتوصية بالتحسينات لمنع وقوع حوادث مماثلة في المستقبل.

الامتثال والمعايير:

الامتثال التنظيمي: التأكد من امتثال التطبيقات للوائح ذات الصلة ومعايير الصناعة (على سبيل المثال، GDPR وHIPAA وPCI DSS) لحماية البيانات الحساسة وضمان الخصوصية.

عمليات تدقيق الأمان: المشاركة في عمليات تدقيق الأمان الداخلية والخارجية أو إجراؤها لتقييم فعالية ضوابط الأمان وتحديد مجالات التحسين.

أفضل ممارسات الأمان: الدعوة إلى أفضل ممارسات الأمان في عملية التطوير، والتأكد من أن المنتج آمن من حيث التصميم.
التدريب والتوعية:

تدريب المطورين: إجراء جلسات تدريبية للمطورين لتثقيفهم حول ممارسات الترميز الآمنة والثغرات الأمنية الشائعة (على سبيل المثال، OWASP Top 10) وأدوات الأمان.

برامج التوعية: زيادة الوعي بقضايا الأمان عبر فريق التطوير والمؤسسة، وتشجيع ثقافة التطوير الواعي للأمان.

أتمتة الأمان:

أتمتة اختبار الأمان: تنفيذ أدوات وبرامج اختبار الأمان الآلية للبحث عن الثغرات الأمنية بشكل مستمر كجزء من خط أنابيب التطوير.

المراقبة المستمرة: إعداد أنظمة لمراقبة التطبيقات بشكل مستمر بحثًا عن ثغرات أمنية جديدة أو تهديدات أمنية، وضمان بقائها آمنة حتى بعد النشر.