Questa è una domanda in più su come il mercato è per un ingegnere del software con particolare attenzione alla sicurezza delle applicazioni e delle informazioni, principalmente sviluppo e ingegneria del software, sia di pratiche sicure durante lo sviluppo di app / sistemi, sia di sviluppo di software di sicurezza reale (sia strumenti o implementazioni crittografiche). Ho passato un po 'di tempo in questo campo negli ultimi due anni e mi sono chiesto come sarebbe il mio futuro.
Una delle mie preoccupazioni è che la maggior parte del tempo trascorso a lavorare in questo campo sembra essere focalizzata sull'uso corretto di librerie / apis sicure e sulla gestione / configurazione dei sistemi, e pochissimo tempo dedicato allo sviluppo effettivo di protocolli di sicurezza personalizzati usando le primitive di sicurezza ( librerie / implementazioni crittografiche, ecc.). Il più delle volte lo sviluppo di flussi personalizzati è strongmente scoraggiato, per ottime ragioni. A meno che tu non abbia esperienza sufficiente, e anche in questo caso si tratta di non avere abbastanza occhi sulle implementazioni. E non ho intenzione di menzionare l'implementazione di librerie crittografiche che è un enorme altro tipo di worm.
Ma alla fine vedo che per essere completamente investito in questo campo (come implementatore, e non come semplice consumatore di implementazioni) è necessario essere molto esperti, ma ovunque si senta non si ha esperienza nei sistemi di produzione come è troppo rischioso (come ho detto, per ragioni molto buone e comprensibili). Quindi, sto considerando quali sono i percorsi di attività in questo campo. In realtà, gran parte dell'attività si riduce al mantenimento delle best practice e al corretto uso di implementazioni / configurazioni appropriate)
E l'unica possibilità di lavorare come realizzatore effettivo è nei circoli accademici, e forse il tuo lavoro otterrà un riconoscimento sufficiente e sarà riesaminato abbastanza da farla accettare. O lavorare per società di software davvero grandi che investono davvero nella ricerca di progetti di sicurezza e implementazioni.
Quindi, dopo questo lungo preambolo, la mia domanda: è vero che la maggior parte del tempo trascorso nello sviluppo di software con particolare attenzione alla sicurezza si riduce a consumare librerie / implementazioni di sicurezza e a configurarne l'uso. Con molta meno attenzione sull'implementazione di flussi di sicurezza o primitive di sicurezza? E se vuoi concentrarti sullo sviluppo reale, le tue migliori possibilità sono nel mondo accademico o nelle grandi aziende che sono effettivamente investite in ricerca e sviluppo.