¿Cómo debería ser una descripción de trabajo para un desarrollador centrado en prácticas de codificación seguras? [cerrado]

Navega tus respuestas
3

Recientemente, la organización para la que trabajo ha aprobado un nuevo rol para centrarse en garantizar que las soluciones técnicas sigan prácticas de desarrollo seguras a nivel de desarrollo de código. Si bien el candidato estará al tanto de la seguridad de la red, no será su enfoque principal, como el diseño de la solución, el marco de prueba, el código funcional y el CICD.

El título del rol puede ser algo así como: Principle Security Developer.

Para un rol como este, ¿cuáles son algunas de las cosas que se espera que un candidato sepa y formen parte de una descripción de trabajo?

Soy consciente de OWASP y de las 10 principales amenazas de seguridad enumeradas allí y formará parte de la descripción del trabajo.

Gracias.

    
pregunta Andrew Conn 16.01.2017 - 23:35
fuente

1 respuesta

3

Buscaría los roles de 'ingeniero de seguridad' o 'arquitecto de seguridad' para varias compañías e intentaría destilar la expectativa de tal rol. Por supuesto, debe adaptarse al entorno y la pila de su empresa, etc.

Para citar algunos, estas son algunas de las expectativas de ese rol (tomadas de algunas ofertas de trabajo para las categorías mencionadas anteriormente):

  • Comprensión del SDLC, así como herramientas como Git, RPM o DPKG, Chef, ansible o Puppet
  • Comprensión técnica profunda de las vulnerabilidades y riesgos comunes de seguridad, así como contramedidas y controles de compensación
  • Experiencia con controles y herramientas de aplicación UNIX y Windows
  • Uso de herramientas de análisis de código fuente Fortify, Coverity, Clang u otros
  • Competencia en lectura, escritura y auditoría > idiomas utilizados en su empresa < y la capacidad de aprender nuevos idiomas / tecnologías
  • Conocimiento de tecnologías de cifrado ubicuas (PGP, SSH, SSL, etc.) y protocolos comunes (RADIUS, LDAP, KERBEROS, SAML, etc.)
  • Alguna experiencia con la integración continua y los marcos de automatización de desarrollo
  • Conocimiento de aplicaciones web comunes y marcos móviles
  • Sentido empresarial sólido (especialmente aplicable para pequeñas empresas)
  • 5 (o más) años de experiencia demostrada en desarrollo de productos, estrategia e investigación de mercado
  • Experiencia profesional anterior en seguridad de la información, con pruebas de penetración o experiencia "breaker"
  • Experiencia al desglosar sistemas y aplicaciones complejos para encontrar fallas
  • Buenas habilidades interpersonales y de comunicación
  • Capacidad para trabajar bien con diseñadores e ingenieros
  • Un estilo de trabajo analítico y basado en métricas
respondido por el CodeExpress 17.01.2017 - 00:20
fuente

Lea otras preguntas en las etiquetas

¿Debería dejarse activado el análisis de HTTPS del antivirus? ¿Es seguro? ¿Qué beneficios de seguridad aporta ALPN a TLS?