مهندس أمان التطبيقات

هدف الوظيفة

بصفتك مهندس أمان التطبيقات في لوكيك، ستساعد في تشكيل وبناء برنامج أمان التطبيقات لدينا جنبًا إلى جنب مع الفريق الأوسع. هذه وظيفة عملية تتطلب مسؤولية عالية حيث ستعمل عن كثب مع فرق المنتج والتطوير عبر دورة تطوير البرمجيات بالكامل - مراجعة التصاميم قبل كتابة الكود، وتحديد المخاطر أثناء تشكيل الميزات، وضمان دمج الأمان في كيفية بناء وشحن البرمجيات، وليس إضافته بعد الانتهاء. تعمل تقنيتنا على روبي على القضبان، وGo، وPython، ويتم نشرها على AWS مع Terraform لإدارة البنية التحتية ككود وJenkins لتشغيل CI/CD. ستقوم بقراءة ومراجعة الكود في هذه اللغات - وليس الاعتماد فقط على مخرجات الماسح الضوئي - والعمل مع خدمات أمان AWS (SecurityHub، Inspector، GuardDuty، CloudTrail، CloudFront) لتوفير الرؤية والحماية عبر بنيتنا التحتية. تمتد هذه الوظيفة لتشمل تطبيقات الويب، وAPIs، وSDK المحمول لدينا (iOS وAndroid)، والسحابة، وCI/CD - بالتعاون مع المهندسين، ومديري المنتجات، ومنصة الأمان لجعل المسار الآمن هو المسار الافتراضي. يمكن شغل هذه الوظيفة بمستوى متوسط مع مسار نمو واضح إلى مستوى أعلى مع تقدمك في تشكيل برنامج أمان التطبيقات لدينا، أو بمستوى أعلى إذا كنت تعمل بالفعل في هذا النطاق.

ستعمل ضمن فريق أمان صغير، مما يتطلب تجاوز أمان التطبيقات الأساسي لتقييم الحوادث، ومعالجة استبيانات أمان العملاء، أو دعم المراجعات السحابية والامتثال عبر الوظائف. نحن نقدر هذا التنوع كجانب أساسي من الوظيفة؛ إذا كنت تبحث عن عمل متخصص للغاية مقيد بشكل صارم بأمان التطبيقات، فقد لا تكون هذه الوظيفة مناسبة لك.

مسؤوليات الوظيفة:

• تصميم آمن ومراجعة كود

• • إدارة وقيادة جلسات نمذجة التهديدات مع فرق المنتج والهندسة أثناء تصميم الميزات. هذه وظيفة عملية مع توقعات لتقديم إصلاحات في المنتج حسب الحاجة أثناء تمكين المهندسين الآخرين.
  • إجراء مراجعات أمان الكود ومراجعات الهندسة المعمارية عبر تطبيقات الويب وAPIs والخدمات في روبي، وGo، وPython.
  • استغلال الذكاء الاصطناعي والتأكد من تمكين المهندسين للامتثال لمعايير قبول الأمان. تقديم الإرشادات للمهندسين حول التصميم الآمن أثناء تطوير المنتج.

• إدارة الثغرات

• • التحقق من الثغرات، وتصنيفها، ودفع الإصلاحات - الشراكة مع فرق الهندسة عبر دورة الحياة الكاملة من الاكتشاف حتى دعم SLA.
  • التنسيق مع فرق الهندسة للتحقق من الإصلاحات ومنع الأسباب الجذرية.

• أتمتة الأمان في CI/CD

• • بناء وصيانة اختبارات الأمان الآلية في CI/CD - SAST، SCA، مسح الأسرار.
  • ضبط الأدوات للإشارة على الضوضاء؛ دمج النتائج في سير عمل المطورين.
  • تشغيل مسارات مسح الأسرار واستجابة تسريبات الاعتماد.

• أمان السحابة والبنية التحتية

• • دعم مراجعات أمان السحابة - سياسات IAM، تقسيم الشبكة، تكوينات الحاويات/Kubernetes، وسياسات Terraform ككود.
  • العمل مع خدمات أمان AWS (SecurityHub، Inspector، GuardDuty، CloudTrail، CloudFront) للحفاظ على الرؤية والكشف عبر بنيتنا التحتية.

• أمان سلسلة التوريد والبناء

• • امتلاك مخاطر الاعتماد عبر SCA، وملفات القفل، والتثبيت.
  • دفع تعزيز خط أنابيب CI/CD - مشغلات البناء، OIDC إلى السحابة، توقيع العناصر، معايير SBOM.

• تمكين الأمان عبر الوظائف المتعددة

• • تطوير إرشادات الترميز الآمن وأنماط قابلة لإعادة الاستخدام تجعل المسار الآمن هو الافتراضي.
  • دفع اعتماد S-SDLC عبر فرق الهندسة.
  • مراجعة الوضع الأمني لـ SDK المحمول لدينا عبر iOS وAndroid - معالجة البيانات، أمان النقل، التخزين المحلي، IPC، التشفير، مخاطر الاعتماد من الطرف الثالث، وإعدادات الأمان الافتراضية لمستهلك SDK.
  • تقييم المخاطر الأمنية في تكاملات الذكاء الاصطناعي/LLM - حقن الطلبات، معالجة المخرجات غير الآمنة، حدود الثقة في الهياكل الوكيلة.
  • دعم المبادرات الامتثالية (SOC 2، ISO 27001) - ترجمة متطلبات التحكم إلى ممارسات هندسية والمساعدة في جمع أدلة التدقيق.
  • استخدام أدوات الذكاء الاصطناعي بنشاط في سير عملك الخاص - مراجعة الكود المدعومة بالذكاء الاصطناعي، مسودات نمذجة التهديدات، أبحاث الثغرات، وتوليد مستندات الأمان - والمساعدة في تشكيل كيفية استخدام بقية الهندسة للذكاء الاصطناعي بشكل آمن.

متطلبات الوظيفة:

المتطلبات الأساسية:

• الخبرة: 3-6 سنوات في أمان التطبيقات، أو هندسة الأمان.
• التعليم: درجة البكالوريوس في علوم الكمبيوتر، أو أمان المعلومات، أو خبرة عملية مكافئة.
• مراجعة الكود الآمن: في واحدة على الأقل من: Python، Ruby، Go - يمكنه قراءة الكود والتفكير في الثغرات، وليس الاعتماد على مخرجات الماسح الضوئي.
• OWASP Top 10 (الويب وAPI): كنماذج للأسباب الجذرية، وليس قائمة محفوظة - بما في ذلك SSRF، التسلسل غير الآمن، فئات الحقن، وعيوب التحكم في الوصول.
• نمذجة التهديدات: خبرة عملية مع STRIDE ومخططات تدفق البيانات؛ يمكنه قيادة جلسة مع فريق المنتج وإنتاج نتائج قابلة للتنفيذ.
• المصادقة والهوية: عمق العمل في إدارة الجلسات، ونماذج RBAC/ABAC.
• أتمتة أمان CI/CD: خبرة عملية في دمج SAST، SCA، ومسح الأسرار في خطوط الأنابيب وضبطها للإشارة القابلة للتنفيذ.
• استباقية ومحرك ملكية: - لا ينتظر أن يُقال له ماذا يؤمن.
• الراحة في العمل عبر الوظائف: مع مهندسي المنتج، ومهندسي المنصة، والفريق الأوسع.
• قدرات تحليلية وحل المشكلات قوية.
• إجادة اللغة: الإنجليزية، مع مهارات قوية في الكتابة والتواصل الشفهي.
• التواصل: تواصل كتابي وشفهي واضح يمكنه شرح ثغرة لمهندس، أو مدير منتج، أو نائب رئيس.

نقاط القوة:

نتوقع من المرشحين الأقوياء أن يكون لديهم بعض هذه النقاط وليس جميعها. كلما كان ذلك أفضل.

• أمان SDK المحمول: OWASP Mobile Top 10 وMASVS/MASTG؛ Android (Kotlin) أو iOS (Swift)؛ خبرة مع Frida، objection، أو MobSF.
• عمق خدمات أمان AWS: SecurityHub، Inspector، GuardDuty، CloudTrail، CloudFront بخلاف IAM.
• أساسيات أمان الحاويات وKubernetes.
• عمق سلسلة التوريد: إطار عمل SLSA، SBOM.أمان AI/LLM: تخفيفات حقن الطلبات، OWASP LLM Top 10، تأمين الهياكل الوكيلة وحدود استخدام الأدوات.
• الإلمام بـ: ISO 27001 أو SOC 2.

من الجيد أن تمتلك:

• Terraform وسياسة كود: tfsec، Checkov، OPA/Conftest.
• خبرة في بناء أو بدء برنامج أمان.
• مشاركة في مكافآت الأخطاء، أو نشر CVEs، أو أبحاث أمان موثقة.
• شهادات عملية: OSCP، OSWE، eMAPT.
• خبرة في الاستجابة للحوادث - تصنيف، احتواء، تحليل الأسباب الجذرية.
• خبرة في الفرق الحمراء أو الفرق الأرجوانية.