Quale dovrebbe essere una descrizione del lavoro per uno sviluppatore incentrata su pratiche di codifica sicure? [chiuso]

Naviga le tue risposte
3

Recentemente l'organizzazione per cui lavoro ha approvato un nuovo ruolo da focalizzare sull'assicurazione che le soluzioni tecniche seguano pratiche di sviluppo sicure a livello di sviluppo del codice. Mentre il candidato sarà a conoscenza della sicurezza della rete, non sarà il loro obiettivo principale dove-come la progettazione della soluzione, il framework di test, il codice funzionale e il CICD saranno.

Il titolo del ruolo potrebbe essere qualcosa come: Principle Security Developer.

Per un ruolo come questo, quali sono alcune delle cose che ci si aspetta che un candidato conosca e faccia parte di una descrizione del lavoro?

Sono a conoscenza di OWASP e delle prime 10 minacce alla sicurezza elencate qui e farà parte di la descrizione del lavoro.

Grazie.

    
posta Andrew Conn 16.01.2017 - 23:35
fonte

1 risposta

3

Guarderei i ruoli di "ingegnere della sicurezza" o "architetto della sicurezza" per varie aziende e cerco di distillare le aspettative per un simile ruolo. Ovviamente, deve essere adattato all'ambiente aziendale e allo stack ecc.

Per citarne alcuni, queste sono alcune delle aspettative da un tale ruolo (tratto da alcuni annunci di lavoro per le categorie sopra menzionate):

  • Comprensione di SDLC, oltre a strumenti come Git, RPM o DPKG, Chef, ansible o Puppet
  • Approfondita conoscenza tecnica delle principali vulnerabilità e rischi di sicurezza, nonché contromisure e controlli compensativi
  • Esperienza con i controlli e gli strumenti delle applicazioni UNIX e Windows
  • Utilizzo degli strumenti di analisi del codice sorgente Fortify, Coverity, Clang o altri
  • Competenza nella lettura, scrittura e auditing di > lingue utilizzate nella tua azienda e capacità di cogliere nuove lingue / tecnologie
  • Conoscenza di tecnologie di crittografia onnipresenti (PGP, SSH, SSL, ecc.) e protocolli comuni (RADIUS, LDAP, KERBEROS, SAML, ecc.)
  • Alcune esperienze con l'integrazione continua e i framework di automazione dello sviluppo
  • Conoscenza di applicazioni Web e framework mobili comuni
  • strong senso degli affari (applicabile specialmente alle piccole startup)
  • 5 (o più) anni di esperienza dimostrata nello sviluppo del prodotto, nella strategia e nelle ricerche di mercato
  • Esperienza di sicurezza delle informazioni professionali precedenti, con test di penetrazione o esperienza di "breaker"
  • Prova ad abbattere sistemi complessi e applicazioni per trovare difetti
  • Buone capacità interpersonali e di comunicazione
  • Capacità di lavorare bene con designer e ingegneri
  • Uno stile di lavoro orientato all'analisi e alla metrica
risposta data 17.01.2017 - 00:20
fonte

Leggi altre domande sui tag

Perché non esiste un flag SameOrigin che puoi mettere sui cookies per prevenire CSRF? L'uso di / dev / urandom invece di / dev / random ha mai causato una vulnerabilità?