الملخص: يحافظ مهندس أمن التطبيقات على بيئة تطبيقات المؤسسة من خلال دمج أمن التطبيقات في دورة حياة تطوير البرمجيات (SDLC)، والكشف الاستباقي عن الثغرات، وتنفيذ ضوابط وقائية. أبرز النقاط: 1. دمج أمن التطبيقات عبر دورة حياة تطوير البرمجيات (SDLC) بالكامل. 2. إجراء تقييمات شاملة لأمن التطبيقات ونمذجة التهديدات. 3. الكشف المبكر عن الثغرات في التطبيقات ومعالجتها بشكل استباقي. ***وصف الوظيفة*** **مهندس أمن التطبيقات** ***القسم:*** التقنيات – البنية التحتية ***يُقدّم تقريره إلى:*** مدير عمليات الأمن **1\. ملخّص الموقع الوظيفي** يُعتبر مهندس أمن التطبيقات مسؤولًا عن حماية بيئة تطبيقات المؤسسة عبر دمج أمن التطبيقات في كل مرحلة من مراحل دورة حياة تطوير البرمجيات (SDLC). وتتطلب هذه الوظيفة فهمًا عميقًا لمبادئ أمن التطبيقات، واختبار الاختراق، ونمذجة التهديدات، وممارسات البرمجة الآمنة، ومنهجيات ديفسيكوبس (DevSecOps) الحديثة. وسيعمل المرشح المثالي بشكل وثيق مع فرق التطوير وفرق المشاريع والوظائف التقنية الأوسع للكشف الاستباقي عن الثغرات، وإجراء تقييمات أمنية متعمقة، وتنفيذ ضوابط وقائية. وتتطلب هذه الوظيفة خبرة عملية في أدوات التحليل الاستاتيكي (SAST) والتحليل الديناميكي (DAST)، واختبار اختراق التطبيقات، وأمن واجهات برمجة التطبيقات (API)، وقدرة على دمج ضوابط الأمان ضمن خطوط أنابيب التكامل المستمر/النشر المستمر (CI/CD). وتتطلب هذه الوظيفة العمل في بيئة سريعة الخطى تتطلب خبرة تقنية قوية، ومهارات اتصال ممتازة، وقدرة على تحويل نتائج الأمان المعقدة إلى توجيهات واضحة للإصلاح. وسيؤدي المرشح الناجح دورًا محوريًّا في تطوير موقف المؤسسة تجاه أمن التطبيقات، وضمان الامتثال لأفضل الممارسات الصناعية والمعايير الأمنية العالمية. **المهام والمسؤوليات:** · دمج أمن التطبيقات في جميع مراحل دورة حياة تطوير البرمجيات (SDLC) عبر التعاون مع فرق التطوير واختبار الجودة (QA) والمشاريع والهندسة المعمارية. · إجراء تقييمات شاملة لأمن التطبيقات، بما في ذلك مراجعة التعليمات البرمجية يدويًّا وآليًّا، وتحليل DAST/SAST، واختبار الاختراق للتطبيقات القائمة على الويب والجوال وواجهات برمجة التطبيقات (API). · إجراء مراجعات للتصميم والهندسة المعمارية، بما في ذلك نمذجة التهديدات باستخدام أطر عمل مثل STRIDE وPASTA. · تحديد الثغرات وتوفير توجيهات الإصلاح المتوافقة مع معايير البرمجة الآمنة وأطر العمل مثل قائمة OWASP Top 10، وOWASP ASVS، وNIST 800‑115، وCWE. · تطوير وصيانة سياسات أمن التطبيقات، والإرشادات الخاصة بالبرمجة الآمنة، والمراجع الخاصة بأفضل الممارسات. · دعم دمج أدوات الأمان في خطوط أنابيب التكامل المستمر/النشر المستمر (CI/CD). · مراجعة وتحسين عمليات الأمان مع التركيز على فرص التحسين والأتمتة. · إجراء اختبارات اختراق للبنية التحتية السحابية والتقنية عند الحاجة، بالتنسيق مع فرق البنية التحتية. · إدارة وتحقق من نتائج الثغرات باستخدام أنظمة إدارة الثغرات المؤسسية. · مساعدة فرق التطوير في تصحيح وحل الثغرات الأمنية، وضمان معالجتها في الوقت المناسب. · المشاركة في أنشطة الاستجابة للحوادث المتعلقة بالهجمات التي تستهدف طبقة التطبيقات. · الحفاظ على تحديث المعرفة باستمرار بشأن التهديدات الناشئة وتقنيات الاستغلال والتكنولوجيا الأمنية المتطورة. · توفير وثائق فنية واضحة، وتقارير، وملخصات تنفيذية لنتائج التقييمات. · دعم عمليات التدقيق الداخلية، ومتطلبات الامتثال، وتقييمات المخاطر المتعلقة بأمن التطبيقات. · تعزيز مبادئ التصميم الآمن منذ المرحلة الأولى، والمساهمة في استراتيجية المؤسسة لمنهجية ديفسيكوبس (DevSecOps). · ضمان الامتثال الكامل لسياسات أمن المعلومات والضمان، والمعايير الصناعية، والمتطلبات التنظيمية ذات الصلة من خلال دمج الحوكمة والضوابط عبر دورة حياة التطبيقات. · تطوير وصيانة وتطبيق قواعد تأمين التطبيقات والأنظمة وفقًا لمبادئ CIS Benchmarks وغيرها من معايير تكوين الأمان. · المشاركة في الدعم على مدار 24 ساعة يوميًّا خلال الحوادث الحرجة المتعلقة بأمن التطبيقات، والتحقيقات، والأنشطة العاجلة لإصلاح الثغرات عند الحاجة. · المساهمة في المبادرات والمشاريع المتعلقة بالأمان، وأداء المهام الإضافية حسب التكليف لدعم الاحتياجات المتغيرة للأعمال والتكنولوجيا ضمن برنامج الأمان. **الخبرة المطلوبة** · ما بين 5 إلى 7 سنوات من الخبرة المهنية في مجال أمن التطبيقات أو اختبار الاختراق أو الأدوار الهندسية الأمنية ذات الصلة. · خبرة عملية مُثبتة في اختبار اختراق التطبيقات باستخدام أدوات مثل Burp Suite وOWASP ZAP وأطر الاستغلال ذات الصلة. · معرفة قوية بقائمة OWASP Top 10 وOWASP ASVS وOWASP SAMM وأطر عمل دورة حياة تطوير البرمجيات الآمنة (secure SDLC). · خبرة في إجراء نمذجة التهديدات ومراجعة تصاميم الهندسة المعمارية للتطبيقات. · خبرة عملية في استخدام أدوات التحليل الاستاتيكي (SAST) والتحليل الديناميكي (DAST) ودمجها في سير عمل التكامل المستمر/النشر المستمر (CI/CD). · معرفة عملية بعملية إدارة الثغرات والأدوات المستخدمة فيها. · خبرة عملية في مراجعة التعليمات البرمجية بلغات مثل JavaScript وTypeScript وJava أو ما يعادلها. · فهم جيد لخدمات الميكروسيفرات وواجهات برمجة التطبيقات (REST APIs) وآليات المصادقة/التفويض والإطارات التطبيقية الحديثة. · إتقان أساسي لكتابة البرامج النصية (Python أو Bash أو PowerShell). · دراية بأمن الحاويات ومفاهيم أمن السحابة الأصلية وممارسات ديفسيكوبس (DevSecOps). · فهم لأساسيات الشبكات وبروتوكول TCP/IP ومتجهات الهجوم الشائعة. **المؤهل العلمي:** · بكالوريوس علوم حاسوب أو أمن سيبراني أو تكنولوجيا المعلومات أو خبرة مهنية مكافئة. **الشهادات المهنية:** · شهادات مثل OSWE أو OSCP أو OSWA أو GPEN أو GWAPT أو GCPN أو ما يعادلها من الشهادات الأمنية. · شهادات في البرمجة الآمنة أو أمن السحابة أو معايير أمن التطبيقات. · الشهادات المتعلقة بمنهجية ديفسيكوبس (DevSecOps) تُعد ميزة إضافية. **السلوكيات والكفاءات الرئيسية** · مهارات تحليلية وحل مشكلات قوية مع الانتباه للتفاصيل. · القدرة على العمل بشكل مستقل، وتحديد أولويات عبء العمل، والالتزام بالمواعيد النهائية المحددة. · مهارات اتصال ممتازة، مع القدرة على شرح الثغرات الفنية لأصحاب المصلحة غير التقنيين. · القدرة المُثبتة على العمل بفعالية في البيئات عالية الضغط. · عقلية تركز على التحسين المستمر والابتكار والأتمتة. · مهارات قوية في التعاون والعمل الجماعي عبر الفِرق متعددة التخصصات. · القدرة على تقييم التطبيقات من زاويتي الهجوم والدفاع معًا. · إظهار عقلية تضع العميل في المقام الأول من خلال تمكين تجارب رقمية آمنة وخالية من التعقيدات. · الموازنة بين متطلبات الأمان واحتياجات الأعمال لدعم الابتكار الآمن. · تقديم توجيهات واضحة ومراعية وقابلة للتنفيذ لأصحاب المصلحة الداخليين. · ضمان دعم عمليات الأمان للشفافية والمرونة وتقليل حدوث أي اضطراب في فرق التسليم. **5\.** **جهات الاتصال الأساسية** • فريق أمن المعلومات • قادة فرق التطوير / فرق الاختبار • مدراء المشاريع • مركز عمليات الأمن (SOC) • فريق الهندسة المعمارية والحوكمة • مدققو الحسابات الداخليون والخارجيون أنواع الوظيفة: مؤقتة، عقدية مدة العقد: 12 شهرًا الأجر: ١٠٠٠٫٠٠٠ دينار بحريني – ١٥٠٠٫٠٠٠ دينار بحريني شهريًّا