Esta es una pregunta más acerca de cómo es el mercado para un ingeniero de software con un enfoque en seguridad de aplicaciones e información, principalmente desarrollo e ingeniería de software, ya sea de prácticas seguras al desarrollar aplicaciones / sistemas, o de desarrollo de software de seguridad real (ya sea herramientas o implementaciones criptográficas). He pasado algo de tiempo en este campo durante los últimos dos años, y me preguntaba cómo se vería mi futuro en él.
Una de mis preocupaciones es que la mayor parte del tiempo empleado en este campo parece estar centrado en el uso adecuado de bibliotecas / apis seguras y en la gestión / configuración de sistemas, y muy poco tiempo en desarrollar protocolos de seguridad personalizados utilizando primitivas de seguridad ( bibliotecas crypto / implementación, etc). La mayoría de las veces, el desarrollo de flujos personalizados está muy desaconsejado, por muy buenas razones. A menos que tenga la experiencia suficiente, e incluso entonces es una cuestión de no tener suficientes ojos en sus implementaciones. Y ni siquiera voy a mencionar la implementación de bibliotecas criptográficas, que es otra enorme lata de gusanos.
Pero, en última instancia, veo que para poder realizar una inversión total en este campo (como implementador, y no como simple consumidor de implementaciones), debe tener mucha experiencia, pero en todos los lugares donde escuche no adquiera experiencia en sistemas de producción como es demasiado arriesgado (como dije, por razones muy buenas y comprensibles). Entonces, estoy considerando qué caminos de actividad hay en este campo. Realmente es que la mayor parte de la actividad se reduce a mantenerse al día con las mejores prácticas y asegurarse de usar las implementaciones / configuraciones adecuadas)
Y la única oportunidad de trabajar como implementador real es en círculos académicos, y tal vez su trabajo obtenga el reconocimiento suficiente y se revise lo suficiente como para que comience a ser aceptado. O trabajar para compañías de software realmente grandes que realmente invierten en la investigación de diseño e implementación de seguridad.
Entonces, después de este largo preámbulo, mi pregunta: ¿es cierto que la mayor parte del tiempo dedicado al desarrollo de software con un enfoque en seguridad se reduce a consumir implementaciones y bibliotecas de seguridad, y configurar su uso? ¿Con mucho menos enfoque en la implementación de flujos de seguridad o primitivas de seguridad? Y si desea centrarse en el desarrollo real, sus mejores posibilidades son en el mundo académico o en grandes empresas que realmente invierten en investigación y desarrollo.