مهندس الأمن

Adree

تطبيق ضوابط أمان DevSecOps عبر دورة حياة تطوير البرمجيات CI/CD باستخدام Azure DevOps Server، لضمان وجود بوابات أمان قابلة للتنفيذ، وإدارة دورة حياة الثغرات، وأدلة جاهزة للتدقيق.

المسؤوليات الرئيسية

• تكوين وضبط Fortify SAST/DAST، تحديد العتبات وعمليات استثناء سير العمل.
• أتمتة تجديد وتوزيع شهادات SSL/TLS باستخدام أدوات مثل HashiCorp Vault وCert-Manager في Kubernetes لمنع التوقف ومخاطر الأمان.
• دمج أدوات توليد SBOM في خط أنابيب CI/CD لتتبع تبعيات المكونات، والامتثال للرخص، والثغرات، مما يوفر رؤية في سلسلة توريد البرمجيات.
• تنفيذ توقيع الصورة والتحقق منها باستخدام أدوات مثل Sigstore/Cosign لضمان نزاهة الشيفرة، وضمان أن الصور الحاوية المعتمدة فقط هي التي يتم نشرها.
• تحديد بوابات الجودة، SLAs الثغرات، عملية التصنيف، تتبع الإصلاح ولوحات تقارير.
• دمج إدارة الأسرار (HashiCorp Vault) وأنماط الوصول الآمنة مع SecurEnvoy MFA.
• دعم أدلة الامتثال: مخرجات الفحص، الموافقات، وحزم أدلة الإصدار.
• الشراكة مع DevOps و QA حول خطوط الأنابيب الآمنة وضوابط بيئة الاختبار

الخبرة المطلوبة

5 8+ سنوات من خبرة AppSec/DevSecOps/هندسة الأمان. الخبرة في القطاع الحكومي/التنظيمي هي ميزة. تعرض قوي لـ OWASP، ونمذجة التهديدات، وإدارة الثغرات.

المهارات التقنية

SDLC الآمن، بوابات أمان CI/CD، موثوقية الأغراض، إدارة الأسرار، مفاهيم أمان الحاويات، وأساسيات أمان K8s.

المهارات الشخصية

التأثير بدون سلطة، التواصل القائم على المخاطر، الإرشاد العملي، والتعامل الهادئ مع التصعيد.

المهارات الأساسية / الأدوات

خادم Azure DevOps، Fortify (SAST/DAST)، HashiCorp Vault، JFrog Artifactory، Sigstore (مفيد)، الوعي بـ OpenShift/Kubernetes، ومراقبة الترابط (AppDynamics/BMC/Azure Monitoring).