第1篇 應(yīng)用安全顧問崗位職責
安全顧問-應(yīng)用安全方向 具體職責:
?在架構(gòu)、設(shè)計和評審階段與開發(fā)團隊緊密合作。
?向開發(fā)團隊提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會涉及但不限于,安全的數(shù)據(jù)庫訪問,驗證方式,會話管理,加密技術(shù),權(quán)限設(shè)計與訪問控制,安全測試,錯誤處理和日志,輸入驗證,安全存儲設(shè)計。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對所服務(wù)團隊互聯(lián)網(wǎng)系統(tǒng)進行安全風險評估,提出安全需求,并評估安全要求不能達到時的風險,向項目建議控制措施。;
?與開發(fā)團隊共同討論,確定安全功能設(shè)計方案,提供方案實現(xiàn)的具體建議,供開發(fā)團隊實現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測試方法、驗證方法,準備測試用例、工具,組織或?qū)嵤┌踩珳y試;
?與開發(fā)團隊共同分析測試中發(fā)現(xiàn)的問題,提出建議,督促及時整改;
?向開發(fā)團隊傳授專業(yè)安全知識和技能;
?歸納總結(jié)開發(fā)中遇到的經(jīng)驗和教訓(xùn),形成一致的安全標準、安全功能模塊,提高開發(fā)安全的保障水平。
?針對已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實踐文檔。
?識別安全開發(fā)生命周期框架中需要改進和落實的領(lǐng)域,以進一步完善安全開發(fā)實踐和紀律,逐步建立安全的程序庫供開發(fā)人員使用。
?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項目、開發(fā)團隊緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語、書面表達和溝通技能。
開發(fā)經(jīng)驗:
?架構(gòu)/實施:理想的候選人需要具備架構(gòu)和實施(開發(fā))企業(yè)級應(yīng)用的經(jīng)驗,并在組織中擔當過it崗位。
?軟件開發(fā):這個崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗,尤其偏重于大型web應(yīng)用開發(fā)項目。這需要掌握開發(fā)生命周期(sdlc)的知識和web安全的實踐(如owasp實踐集)。
?編程語言:理想的候選人應(yīng)具備在實踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, ajax, flex/silverlight。
?移動平臺:熟悉ios和安卓平臺下的開發(fā)。
安全經(jīng)驗:
?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風險和相應(yīng)的控制。熟悉、實踐過主流應(yīng)用安全實踐集如(owasp),和移動安全領(lǐng)域的控制。
?能夠在開發(fā)過程中,評估安全相關(guān)的技術(shù)和功能性特性,識別威脅和脆弱的領(lǐng)域。具備參與設(shè)計階段的經(jīng)驗。
?能夠從安全角度評審企業(yè)級應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗證,權(quán)限,身份管理,數(shù)據(jù)保護,輸入輸出驗證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲。
?具備使用動態(tài)漏洞評估和靜態(tài)漏洞評估工具,甚至滲透測試或其他安全測試工具的經(jīng)驗。
其他:
?5年以上工作經(jīng)驗。
?碩士(大公司多年經(jīng)驗本科也可)
具體職責:
?在架構(gòu)、設(shè)計和評審階段與開發(fā)團隊緊密合作。
?向開發(fā)團隊提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會涉及但不限于,安全的數(shù)據(jù)庫訪問,驗證方式,會話管理,加密技術(shù),權(quán)限設(shè)計與訪問控制,安全測試,錯誤處理和日志,輸入驗證,安全存儲設(shè)計。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對所服務(wù)團隊互聯(lián)網(wǎng)系統(tǒng)進行安全風險評估,提出安全需求,并評估安全要求不能達到時的風險,向項目建議控制措施。;
?與開發(fā)團隊共同討論,確定安全功能設(shè)計方案,提供方案實現(xiàn)的具體建議,供開發(fā)團隊實現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測試方法、驗證方法,準備測試用例、工具,組織或?qū)嵤┌踩珳y試;
?與開發(fā)團隊共同分析測試中發(fā)現(xiàn)的問題,提出建議,督促及時整改;
?向開發(fā)團隊傳授專業(yè)安全知識和技能;
?歸納總結(jié)開發(fā)中遇到的經(jīng)驗和教訓(xùn),形成一致的安全標準、安全功能模塊,提高開發(fā)安全的保障水平。
?針對已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實踐文檔。
?識別安全開發(fā)生命周期框架中需要改進和落實的領(lǐng)域,以進一步完善安全開發(fā)實踐和紀律,逐步建立安全的程序庫供開發(fā)人員使用。
?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項目、開發(fā)團隊緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語、書面表達和溝通技能。
開發(fā)經(jīng)驗:
?架構(gòu)/實施:理想的候選人需要具備架構(gòu)和實施(開發(fā))企業(yè)級應(yīng)用的經(jīng)驗,并在組織中擔當過it崗位。
?軟件開發(fā):這個崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗,尤其偏重于大型web應(yīng)用開發(fā)項目。這需要掌握開發(fā)生命周期(sdlc)的知識和web安全的實踐(如owasp實踐集)。
?編程語言:理想的候選人應(yīng)具備在實踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, ajax, flex/silverlight。
?移動平臺:熟悉ios和安卓平臺下的開發(fā)。
安全經(jīng)驗:
?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風險和相應(yīng)的控制。熟悉、實踐過主流應(yīng)用安全實踐集如(owasp),和移動安全領(lǐng)域的控制。
?能夠在開發(fā)過程中,評估安全相關(guān)的技術(shù)和功能性特性,識別威脅和脆弱的領(lǐng)域。具備參與設(shè)計階段的經(jīng)驗。
?能夠從安全角度評審企業(yè)級應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗證,權(quán)限,身份管理,數(shù)據(jù)保護,輸入輸出驗證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲。
?具備使用動態(tài)漏洞評估和靜態(tài)漏洞評估工具,甚至滲透測試或其他安全測試工具的經(jīng)驗。
其他:
?5年以上工作經(jīng)驗。
?碩士(大公司多年經(jīng)驗本科也可)
第2篇 應(yīng)用安全顧問崗位職責應(yīng)用安全顧問職責任職要求
應(yīng)用安全顧問崗位職責
安全顧問-應(yīng)用安全方向 具體職責:
?在架構(gòu)、設(shè)計和評審階段與開發(fā)團隊緊密合作。
?向開發(fā)團隊提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會涉及但不限于,安全的數(shù)據(jù)庫訪問,驗證方式,會話管理,加密技術(shù),權(quán)限設(shè)計與訪問控制,安全測試,錯誤處理和日志,輸入驗證,安全存儲設(shè)計。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對所服務(wù)團隊互聯(lián)網(wǎng)系統(tǒng)進行安全風險評估,提出安全需求,并評估安全要求不能達到時的風險,向項目建議控制措施。;
?與開發(fā)團隊共同討論,確定安全功能設(shè)計方案,提供方案實現(xiàn)的具體建議,供開發(fā)團隊實現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測試方法、驗證方法,準備測試用例、工具,組織或?qū)嵤┌踩珳y試;
?與開發(fā)團隊共同分析測試中發(fā)現(xiàn)的問題,提出建議,督促及時整改;
?向開發(fā)團隊傳授專業(yè)安全知識和技能;
?歸納總結(jié)開發(fā)中遇到的經(jīng)驗和教訓(xùn),形成一致的安全標準、安全功能模塊,提高開發(fā)安全的保障水平。
?針對已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實踐文檔。
?識別安全開發(fā)生命周期框架中需要改進和落實的領(lǐng)域,以進一步完善安全開發(fā)實踐和紀律,逐步建立安全的程序庫供開發(fā)人員使用。
?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項目、開發(fā)團隊緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語、書面表達和溝通技能。
開發(fā)經(jīng)驗:
?架構(gòu)/實施:理想的候選人需要具備架構(gòu)和實施(開發(fā))企業(yè)級應(yīng)用的經(jīng)驗,并在組織中擔當過it崗位。
?軟件開發(fā):這個崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗,尤其偏重于大型web應(yīng)用開發(fā)項目。這需要掌握開發(fā)生命周期(sdlc)的知識和web安全的實踐(如owasp實踐集)。
?編程語言:理想的候選人應(yīng)具備在實踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/http, cookies, ajax, flex/silverlight。
?移動平臺:熟悉ios和安卓平臺下的開發(fā)。
安全經(jīng)驗:
?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風險和相應(yīng)的控制。熟悉、實踐過主流應(yīng)用安全實踐集如(owasp),和移動安全領(lǐng)域的控制。
?能夠在開發(fā)過程中,評估安全相關(guān)的技術(shù)和功能性特性,識別威脅和脆弱的領(lǐng)域。具備參與設(shè)計階段的經(jīng)驗。
?能夠從安全角度評審企業(yè)級應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗證,權(quán)限,身份管理,數(shù)據(jù)保護,輸入輸出驗證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲。
?具備使用動態(tài)漏洞評估和靜態(tài)漏洞評估工具,甚至滲透測試或其他安全測試工具的經(jīng)驗。
其他:
?5年以上工作經(jīng)驗。
?碩士(大公司多年經(jīng)驗本科也可)
具體職責:
?在架構(gòu)、設(shè)計和評審階段與開發(fā)團隊緊密合作。
?向開發(fā)團隊提供專業(yè)的安全指導(dǎo)和見解。具體的安全控制領(lǐng)域會涉及但不限于,安全的數(shù)據(jù)庫訪問,驗證方式,會話管理,加密技術(shù),權(quán)限設(shè)計與訪問控制,安全測試,錯誤處理和日志,輸入驗證,安全存儲設(shè)計。
?根據(jù)應(yīng)用系統(tǒng)生命周期安全管理要求,對所服務(wù)團隊互聯(lián)網(wǎng)系統(tǒng)進行安全風險評估,提出安全需求,并評估安全要求不能達到時的風險,向項目建議控制措施。;
?與開發(fā)團隊共同討論,確定安全功能設(shè)計方案,提供方案實現(xiàn)的具體建議,供開發(fā)團隊實現(xiàn);
?確定應(yīng)用系統(tǒng)的各階段安全測試方法、驗證方法,準備測試用例、工具,組織或?qū)嵤┌踩珳y試;
?與開發(fā)團隊共同分析測試中發(fā)現(xiàn)的問題,提出建議,督促及時整改;
?向開發(fā)團隊傳授專業(yè)安全知識和技能;
?歸納總結(jié)開發(fā)中遇到的經(jīng)驗和教訓(xùn),形成一致的安全標準、安全功能模塊,提高開發(fā)安全的保障水平。
?針對已使用技術(shù)和新技術(shù),創(chuàng)建開發(fā)安全相關(guān)的規(guī)范、指引和實踐文檔。
?識別安全開發(fā)生命周期框架中需要改進和落實的領(lǐng)域,以進一步完善安全開發(fā)實踐和紀律,逐步建立安全的程序庫供開發(fā)人員使用。
?與其他安全顧問溝通和協(xié)作,相互支持,一致地優(yōu)化安全實踐。
技能要求:
軟性技能:
?與人交互和影響的技能非常重要,該崗位需要與項目、開發(fā)團隊緊密協(xié)作,并能夠?qū)Ω淖兒蜎Q策產(chǎn)生積極影響。
?口語、書面表達和溝通技能。
開發(fā)經(jīng)驗:
?架構(gòu)/實施:理想的候選人需要具備架構(gòu)和實施(開發(fā))企業(yè)級應(yīng)用的經(jīng)驗,并在組織中擔當過it崗位。
?軟件開發(fā):這個崗位不是日常的程序開發(fā)崗位,成功的候選人應(yīng)具備在商業(yè)環(huán)境下程序開發(fā)的經(jīng)驗,尤其偏重于大型web應(yīng)用開發(fā)項目。這需要掌握開發(fā)生命周期(sdlc)的知識和web安全的實踐(如owasp實踐集)。
?編程語言:理想的候選人應(yīng)具備在實踐中使用不止一種開發(fā)語言的能力,如java, html5,perl, c/c++, c#, python。
?深入了解web技術(shù)和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/http, cookies, ajax, flex/silverlight。
?移動平臺:熟悉ios和安卓平臺下的開發(fā)。
安全經(jīng)驗:
?了解通常的應(yīng)用層安全漏洞,能夠可以向開發(fā)人員講解漏洞的原理,風險和相應(yīng)的控制。熟悉、實踐過主流應(yīng)用安全實踐集如(owasp),和移動安全領(lǐng)域的控制。
?能夠在開發(fā)過程中,評估安全相關(guān)的技術(shù)和功能性特性,識別威脅和脆弱的領(lǐng)域。具備參與設(shè)計階段的經(jīng)驗。
?能夠從安全角度評審企業(yè)級應(yīng)用的代碼,借助工具的結(jié)果向開發(fā)人員講解可能的安全漏洞。
?候選人應(yīng)熟悉、實踐過安全相關(guān)的控制領(lǐng)域和措施,如身份驗證,權(quán)限,身份管理,數(shù)據(jù)保護,輸入輸出驗證,加密,軟件攻擊模型,安全的數(shù)據(jù)傳輸和存儲。
?具備使用動態(tài)漏洞評估和靜態(tài)漏洞評估工具,甚至滲透測試或其他安全測試工具的經(jīng)驗。
其他:
?5年以上工作經(jīng)驗。
?碩士(大公司多年經(jīng)驗本科也可)