مهندس أمن التطبيق
Instabug
صاحب عمل نشط
نشرت قبل 19 ساعة
أرسل لي وظائف مثل هذه
الجنسية
أي جنسية
جنس
غير مذكور
عدد الشواغر
1 عدد الشواغر
الوصف الوظيفي
الأدوار والمسؤوليات
هدف الوظيفة
كمهندس أمان التطبيقات في Luciq، ستساعد في تشكيل وبناء برنامج أمان التطبيقات الخاص بنا جنبًا إلى جنب مع الفريق الأوسع. هذه وظيفة عملية، ذات ملكية عالية حيث ستعمل بشكل وثيق مع فرق المنتجات والتطوير عبر دورة تطوير البرمجيات الكاملة، مراجعة التصاميم قبل كتابة الكود، وتحديد المخاطر مع تطور الميزات، والتأكد من أن الأمان مدمج في كيفية بناء وشحن البرمجيات، وليس مجرد إضافته بعد الحدث. تقنيتنا تعمل على Ruby on Rails وGo وPython، يتم نشرها على AWS مع Terraform لإدارة البنية التحتية ككود وJenkins لتشغيل CI/CD. ستقرأ وتراجع الكود في هذه اللغات وليس فقط الاعتماد على مخرجات الماسحات، والعمل مع خدمات أمان AWS (SecurityHub وInspector وGuardDuty وCloudTrail وCloudFront) لتوفير الرؤية والحماية عبر بنيةنا التحتية. تمتد هذه الوظيفة لتشمل التطبيقات على الويب، وAPIs، وSDK المحمول لدينا (iOS وAndroid)، والسحابة، وCI/CD بالتعاون مع المهندسين ومديري المنتجات والفريق الأمني لجعل المسار الآمن هو المسار الافتراضي. يمكن شغل هذه الوظيفة على مستوى متوسط مع مسار نمو واضح إلى مستوى أعلى بينما تنمو في تشكيل برنامج أمان التطبيقات لدينا، أو على مستوى أعلى إذا كنت تعمل بالفعل في هذا النطاق.
ستنضم إلى فريق أمان صغير، مما يعني تجاوز الأمان الأساسي للتطبيقات من أجل تصنيف الحوادث، ومعالجة استبيانات أمان العملاء، أو دعم المراجعات السحابية ومتطلبات الامتثال عبر الوظائف. نحن نقدر هذا التنوع كجانب أساسي من الوظيفة؛ إذا كنت تبحث عن عمل متخصص للغاية مقيد بشكل صارم بأمان التطبيقات، فقد لا يكون هذا هو الأنسب.
مسؤوليات الوظيفة
- تصميم آمن ومراجعة الكود
-
- إدارة وقيادة جلسات نمذجة التهديدات مع فرق المنتجات والهندسة خلال تصميم الميزات. هذه وظيفة عملية مع توقعات لتقديم إصلاحات في المنتج حسب الحاجة أثناء تمكين مهندسين آخرين.
- إجراء مراجعات أمان الكود ومراجعات الهندسة المعمارية عبر التطبيقات على الويب وAPIs والخدمات في Ruby وGo وPython
- استغلال الذكاء الاصطناعي والتأكد من تمكين المهندسين للالتزام بمعايير قبول الأمان. تقديم الإرشادات للمهندسين حول التصميم الآمن بينما نقوم بتكرار وبناء المنتج.
- إدارة الثغرات
-
- التحقق، وتصنيف، ودفع التصحيح للثغرات بالتعاون مع فرق الهندسة عبر دورة الحياة الكاملة من الاكتشاف حتى دعم SLA
- التنسيق مع فرق الهندسة على التحقق من الإصلاح ومنع الأسباب الجذرية
- أتمتة الأمان في CI/CD
-
- بناء وصيانة اختبارات الأمان الآلية في CI/CD SAST وSCA وفحص الأسرار
- ضبط الأدوات للإشارة على الضوضاء؛ دمج النتائج في سير العمل الخاص بالمطورين
- تشغيل تدفقات العمل الخاصة بفحص الأسرار واستجابة تسرب الاعتمادات
- أمان السحابة والبنية التحتية
-
- دعم مراجعات أمان السحابة سياسات IAM، تقسيم الشبكة، تكوينات الحاويات/Kubernetes، وسياسة Terraform ككود
- العمل مع خدمات أمان AWS (SecurityHub وInspector وGuardDuty وCloudTrail وCloudFront) للحفاظ على الرؤية والكشف عبر بنيةنا التحتية
- أمان سلسلة التوريد والبناء
-
- امتلاك مخاطر الاعتماد عبر SCA، وملفات القفل، والتثبيت
- دفع تقوية خط أنابيب CI/CD من خلال بناء العدائين، OIDC إلى السحابة، توقيع العناصر، معايير SBOM
- تمكين الأمان عبر الوظائف
-
- تطوير إرشادات الترميز الآمن ونماذج قابلة لإعادة الاستخدام تجعل المسار الآمن هو الافتراضي
- دفع اعتماد S-SDLC عبر فرق الهندسة
- مراجعة موقف الأمان لـ SDK المحمول لدينا عبر iOS وAndroid معالجة البيانات، أمان النقل، التخزين المحلي، IPC، التشفير، مخاطر الاعتماد على الأطراف الثالثة، وإعدادات الأمان الافتراضية لمستهلكي SDK
- تقييم المخاطر الأمنية في تكاملات AI/LLM حقن الموجه، معالجة المخرجات غير الآمنة، حدود الثقة في الهياكل الوكيلة
- دعم المبادرات الامتثالية (SOC 2، ISO 27001) ترجمة متطلبات التحكم إلى ممارسات هندسية ومساعدة في جمع أدلة التدقيق
- استخدام أدوات الذكاء الاصطناعي بنشاط في سير العمل الخاص بك مراجعة الكود بمساعدة الذكاء الاصطناعي، مسودات نمذجة التهديدات، أبحاث الثغرات، وتوليد المواد الأمنية والمساعدة في تشكيل كيفية استخدام بقية الهندسة للذكاء الاصطناعي بأمان
متطلبات الوظيفة
الأشياء الضرورية
- الخبرة: 3-6 سنوات في أمان التطبيقات، أو هندسة الأمان
- التعليم: درجة بكاليوس في علوم الحاسوب، أو أمن المعلومات، أو خبرة عملية معادلة
- مراجعة الكود الآمن في واحدة على الأقل من: Python وRuby وGo يمكن قراءة الكود والتفكير في الثغرات، وليس الاعتماد على مخرجات الماسحات
- OWASP Top 10 (ويب وAPI) كأنماط أسباب جذرية، وليس قائمة مرجعية محفوظة بما في ذلك SSRF، التسلسل غير الآمن، فئات الحقن، وعيوب التحكم في الوصول
- نمذجة التهديدات: خبرة عملية مع STRIDE ومخططات تدفق البيانات؛ يمكن أن يقود جلسة مع فريق المنتج وينتج مخرجات قابلة للتنفيذ
- المصادقة والهوية: عمق عملي في إدارة الجلسات، نماذج RBAC/ABAC
- أتمتة أمان CI/CD: خبرة عملية في دمج SAST وSCA وفحص الأسرار في خطوط الأنابيب وضبطها للحصول على إشارة قابلة للتنفيذ
- استباقي ومدفوع بالملكية لا ينتظر أن يُقال له ما يجب تأمينه
- مرتاح للعمل عبر الوظائف مع مهندسي المنتجات، ومهندسي المنصات، والفريق الأوسع
- قدرات تحليلية وحل مشكلات قوية
- يتحدث الإنجليزية بطلاقة، مع مهارات قوية في الكتابة والتواصل الشفهي
- التواصل: واضح في الكتابة والتواصل الشفهي يمكنه شرح ثغرة لمهندس، أو مدير منتج
القطاع المهني للشركة
- تكنولوجيا المعلومات - خدمات البرمجيات
المجال الوظيفي / القسم
- هندسة
الكلمات الرئيسية
- مهندس أمن التطبيق
تنويه: نوكري غلف هو مجرد منصة لجمع الباحثين عن عمل وأصحاب العمل معا. وينصح المتقدمون بالبحث في حسن نية صاحب العمل المحتمل بشكل مستقل. نحن لا نؤيد أي طلبات لدفع الأموال وننصح بشدة ضد تبادل المعلومات الشخصية أو المصرفية ذات الصلة. نوصي أيضا زيارة نصائح أمنية للمزيد من المعلومات. إذا كنت تشك في أي احتيال أو سوء تصرف ، راسلنا عبر البريد الإلكتروني abuse@naukrigulf.com