Close

Хто такий Application Security Engineer?

Хто такий Application Security Engineer, які його обов’язки, за що відповідає, чим займається та як ним стати? У цьому дописі я спробую відповісти на ключові запитання.

Зміст статті

Application Security Engineer — це інженер-програміст, який відповідає за безпеку програмного забезпечення, а також веб-додатків.

У його обов’язки входить:

  • забезпечення безпеки життєвого циклу розробки програмного забезпечення CI/CD (Continuous Integration/Continuous Delivery) , що має загальну назву –  Secure (Safe) Software Development Lifecycle (SSDL);
  • аналіз, відлагодження (debugging) і тестування вихідного коду, моделювання загроз різного ступеня критичності :  Code Review, Static Code Security Testing (SCST), Continuous Penetration Testing (CPT);
  • перевірка софта на відповідність вимогам, методологіям, фреймворкам з кібербезпеки:  OWASP, SANS, NIST, ISO, HIPAA, PCI-DSS, GDPR та ін.
  • проведення IT аудитів, зокрема аудиту кібербезпеки;
  • підготовка технічних завдань (ТЗ) і специфікацій на розробку/виправлення/доопрацювання додатків.

CI/CD Security

Можна сказати, що Application Security Engineer — це такий собі девелопер, тестувальник і кіберсек в одному обличчі. Але не варто його плутати з Пентестерами, Аналітиками шкідливого коду і Аналітиками безпеки. Це різні фахівці.

Які посадові вимоги до Application Security Engineer?

  • базове розуміння мов програмування (С/++, Python, Java Script, Ruby, Perl, Go та ін.);
  • знання інструментів розробки (Visual Studio Code, Sublime Text);
  • знання баз даних (SQL, MySQL/MariaDB, MongoDB, PostgreSQL та ін.);
  • знання операційних систем Windows, Linux, MacOS, Android, iOS;
  • володіння технологіями віртуалізації і контейнеризації: Microsoft Hyper-V, KVM, XEN, Oracle VirtualBox, VMware Workstation, Sandboxes, Docker, Kubernetes та ін.;
  • володіння технологіями безперервної інтеграції і розгортання — CI/CD, Git/SVN, Jenkis, Kubernetes та ін.;
  • володіння SAST-сканерами: Snyk, SonarQube, Netsparker, Fortify, Rapid;
  • володіня DAST/IAST-сканерами: Acunetix, Netsparker, BurpSuite, OWASP Zap, OpenVAS та ін.
  • розуміння принципів Agile-розробки (Agile Software Development — гнучка модель розробки ПЗ);
  • чітке розуміння усіх міжнародних принципів, стандартів і методологій безпеки;
  • уміння чітко складати вимоги і задачі, делегувати завдання іншим профільним спеціалістам.

DevSecOps

Basic Code Security Testing

Як стати Application Security Engineer?

Поради:

  • Вивчайте ОС Linux (Ubuntu/Debian/Kali Linux/Arch Linux) і мови програмування (Java Script, Python, Perl, Ruby, JS, C++). Працюйте в командному рядку (Bash, Powershell).
  • Напрацьовуйте портфоліо. Беріть проєкти на фрілансі. Накопичуйте кейси і здобутки.
  • Беріть участь в CTF і Bug Bounty.
  • Присвячуйте вільний час прочитанню фахової літератури (за одно поповнюючи словниковий запас та рівень ерудиції).
  • Ведіть професійний блог або щоденник.
  • На зароблені кошти придбайте собі потужний комп’ютер і розгорніть дослідницький центр.
  • Здобувайте фахову освіту і проходьте сертифікацію.

ВУЗи України, які навчають інженерів з кібербезпеки (Код спеціальності — 125):

Книги для інженерів з кібербезпеки:

  • Ендрю Таненбаум – Комп’ютерні мережі (2019)
  • Ендрю Таненбаум – Архітектура комп’ютера (2018)
  • Ендрю Таненбаум – Сучасні операційні системи (2018)
  • Ендрю Таненбаум – Операційні системи: Розробка та реалізація (2007)
  • Ендрю Таненбаум – Розподілені системи: Принципи та парадигми (2003)
  • Юрій Діогенес, Ердаль Озкайя – Кібербезпека: стратегії атак і оборони (2020)
  • Джон Еріксон – Хакінг: Мистецтво експлойта (2018)
  • Пітер Яворскі – Основи веб-хакінгу (2016)
  • Ларс Кландер – Hacker Proof: Повне керівництво з безпеки комп’ютера (2002)
  • Кріс Сандерс – Аналіз пакетів. Практичний посібник із Wireshark (2019)
  • Крейг Гант – TCP/IP. Системне адміністрування (2007)
  • Микола Федотов – Форензика. Комп’ютерна криміналістика (2007)
  • Майкл Сікорскі, Ендрю Хоніг – Розтин покаже. Практичний аналіз шкідливого ПЗ (2018)
  • Шон Гарріс – CISSP. Повне керівництво

👉 Повний список книг з кібербезпеки, доступних до завантаження>>

Українські ЗМІ і ресурси на тему IT безпеки:

Іноземні ЗМІ і ресурси на тему IT безпеки:

Корисні посилання:

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

0 0 голосів
Рейтинг статті
Підписатися
Сповістити про
guest
0 Коментарі
Вбудовані Відгуки
Переглянути всі коментарі
0
Цікаво почути Вашу думку!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!