مهندس ديف أوبس AppSec وأمن

الملخص الوظيفي مهندس Dev/Ops AppSec وأمن هو دور هجين يدعم كلًا من فريق دعم التطبيقات وفريق الأمن.
يتحمل هذا المنصب مسؤولية دمج ممارسات الأمن الأفضل في دورة حياة التطبيق، مع العمل كعنصر أساسي في مبادرات الأمن التنظيمية.
يتعاون المهندس عن كثب مع مدير أمن المعلومات الافتراضي (vISM) وأصحاب المصلحة الأمنيين الآخرين لدفع إدارة الثغرات وتصحيح نتائج الاختبار الأمني وتقييمات الأمن الشاملة.
يضمن هذا الدور أن تكون الحلول قوية ومتوافقة ومرنة أمام التهديدات وأن يتم تحقيق أهداف الأمن عبر مجالات التطبيق والبنية التحتية.
المسؤوليات الأساسية أمان التطبيق • توجيه المطورين والمهندسين بشأن معايير وممارسات البرمجة الآمنة.
• إجراء مراجعات الشيفرة والتحليل الثابت/ الديناميكي لتحديد الثغرات.
• دمج أدوات الأمن في خطوط أنابيب CI/CD للفحص الآلي والامتثال.
• تصميم وتنفيذ المصادقة والتفويض والتشفير لواجهات APIs والتطبيقات.
• تقييم ومعالجة المخاطر في تكامل REST/SOAP، وأنابيب البيانات، والتطبيقات المخصصة.
الأمن الهندسي (دعم فريق الأمن) • التعاون مع vISM وفريق الأمن لإدارة التعرف على الثغرات وتتبعها ومعالجتها عبر التطبيقات والبنية التحتية.
• تنسيق ودعم أنشطة اختبارات الاختراق، بما في ذلك النطاق والتنفيذ والتخفيف من النتائج.
• إجراء تقييمات أمنية للأنظمة الجديدة والقائمة وتوثيق المخاطر وتقديم استراتيجيات التخفيف المقترحة.
• تطوير والحفاظ على نماذج التهديد للتطبيقات والبنية التحتية.
• الاستجابة للحوادث الأمنية، وإجراء تحليل السبب الجذري، وتوثيق الدروس المستفادة.
• دعم مبادرات الامتثال (مثل GDPR، HIPAA، PCI-DSS) والمساعدة في التحضير للتدقيق وجمع الأدلة.
أتمتة الأمن والمراقبة • بناء وصيانة سكريبتات وأطر أتمتة الأمن (.g. للفحص الثغرات، التنبيه، وفحص الامتثال).
• دمج مراقبة الأمن في Azure Pipelines وData Factory والخدمات ذات الصلة.
• الحفاظ على وثائق الأمن الشاملة والرسوم البيانية وإجراءات التشغيل.
التعاون بين الفرق • العمل مع محللي الأعمال لترجمة متطلبات الأمن إلى مواصفات قابلة للتنفيذ.
• توعية أصحاب المصلحة بمخاطر الأمن والتكاليف والبدائل واستراتيجيات التخفيف.
• المشاركة في اجتماعات العملاء لمعالجة مخاوف الأمن وتقديم الحلول.
المهارات والخبرة المطلوبة • الكفاءة في البرمجة الآمنة، أطر أمان التطبيقات (OWASP، NIST)، وإدارة الثغرات.
• الخبرة في أدوات الأمن (SAST، DAST، فحص التبDependencies، SIEM).
• فهم قوي للمصادقة والتفويض وبروتوكولات التشفير.
• الإلمام بخطوط أنابيب CI/CD، Azure DevOps، وأتمتة الأمن.
• الخبرة في منهجيات اختبار الاختراق وعمليات التخفيف.
• القدرة على التحقيق والاستجابة ومعالجة حوادث الأمن.
• مهارة في تحليل السبب الجذري والتحقيق الجنائي.
• القدرة على شرح مفاهيم الأمن التقنية لأصحاب المصلحة غير التقنيين.
• الخبرة في العمل مع فرق متعددة التخصصات (الهندسة، تحليل الأعمال، العمليات، الأمن).
الخبرة المفضلة • الخبرة في أمان السحابة (Azure مفضل)، أمان APIs وحماية البيانات.
• خلفية في تطوير البرمجيات أو بيئات DevOps.
• الإلمام بأطر الامتثال التنظيمي ومراجعات الأمن الموجهة للعملاء.
• الخبرة في الاستشارات أو بيئات مقدمي الخدمة المدارة (MSP).
كيف يكمل هذا الدور الفريق: • يضمن أن تكون الحلول المصممة من قبل محلل الأعمال والمطورة من قبل مهندس Dev/Ops آمنة ومتوافقة ومرنة.
• يسد الفجوات بين المتطلبات التقنية والتجارية، مع معالجة المخاطر بشكل استباقي وتمكين الابتكار الآمن.
• يعزز الوضع الأمني العام للمؤسسة من خلال دعم إدارة الثغرات، تصحيح اختبارات الاختراق، والتقييمات الأمنية بالتعاون مع vISM وفريق الأمن.