应用安全顾问岗位职责应用安全顾问职责任职要求（2篇范文）

第1篇 应用安全顾问岗位职责应用安全顾问职责任职要求

应用安全顾问岗位职责

安全顾问-应用安全方向 具体职责:

在架构、设计和评审阶段与开发团队紧密合作。

向开发团队提供专业的安全指导和见解。具体的安全控制领域会涉及但不限于，安全的数据库访问，验证方式，会话管理，加密技术，权限设计与访问控制，安全测试，错误处理和日志，输入验证，安全存储设计。

根据应用系统生命周期安全管理要求，对所服务团队互联网系统进行安全风险评估，提出安全需求，并评估安全要求不能达到时的风险，向项目建议控制措施。;

与开发团队共同讨论，确定安全功能设计方案，提供方案实现的具体建议，供开发团队实现;

确定应用系统的各阶段安全测试方法、验证方法，准备测试用例、工具，组织或实施安全测试;

与开发团队共同分析测试中发现的问题，提出建议，督促及时整改;

向开发团队传授专业安全知识和技能;

归纳总结开发中遇到的经验和教训，形成一致的安全标准、安全功能模块，提高开发安全的保障水平。

针对已使用技术和新技术，创建开发安全相关的规范、指引和实践文档。

识别安全开发生命周期框架中需要改进和落实的领域，以进一步完善安全开发实践和纪律，逐步建立安全的程序库供开发人员使用。

与其他安全顾问沟通和协作，相互支持，一致地优化安全实践。

技能要求:

软性技能:

与人交互和影响的技能非常重要，该岗位需要与项目、开发团队紧密协作，并能够对改变和决策产生积极影响。

口语、书面表达和沟通技能。

开发经验:

架构/实施:理想的候选人需要具备架构和实施(开发)企业级应用的经验，并在组织中担当过it岗位。

软件开发:这个岗位不是日常的程序开发岗位，成功的候选人应具备在商业环境下程序开发的经验，尤其偏重于大型web应用开发项目。这需要掌握开发生命周期(sdlc)的知识和web安全的实践(如owasp实践集)。

编程语言:理想的候选人应具备在实践中使用不止一种开发语言的能力，如java， html5，perl， c/c++， c#， python。

深入了解web技术和框架，如javascript， jsp/servlet/ejb， asp.net， php， http/http， cookies， ajax， flex/silverlight。

移动平台:熟悉ios和安卓平台下的开发。

安全经验:

了解通常的应用层安全漏洞，能够可以向开发人员讲解漏洞的原理，风险和相应的控制。熟悉、实践过主流应用安全实践集如(owasp)，和移动安全领域的控制。

能够在开发过程中，评估安全相关的技术和功能性特性，识别威胁和脆弱的领域。具备参与设计阶段的经验。

能够从安全角度评审企业级应用的代码，借助工具的结果向开发人员讲解可能的安全漏洞。

候选人应熟悉、实践过安全相关的控制领域和措施，如身份验证，权限，身份管理，数据保护，输入输出验证，加密，软件攻击模型，安全的数据传输和存储。

具备使用动态漏洞评估和静态漏洞评估工具，甚至渗透测试或其他安全测试工具的经验。

其他:

5年以上工作经验。

硕士(大公司多年经验本科也可)

具体职责:

在架构、设计和评审阶段与开发团队紧密合作。

向开发团队提供专业的安全指导和见解。具体的安全控制领域会涉及但不限于，安全的数据库访问，验证方式，会话管理，加密技术，权限设计与访问控制，安全测试，错误处理和日志，输入验证，安全存储设计。

根据应用系统生命周期安全管理要求，对所服务团队互联网系统进行安全风险评估，提出安全需求，并评估安全要求不能达到时的风险，向项目建议控制措施。;

与开发团队共同讨论，确定安全功能设计方案，提供方案实现的具体建议，供开发团队实现;

确定应用系统的各阶段安全测试方法、验证方法，准备测试用例、工具，组织或实施安全测试;

与开发团队共同分析测试中发现的问题，提出建议，督促及时整改;

向开发团队传授专业安全知识和技能;

归纳总结开发中遇到的经验和教训，形成一致的安全标准、安全功能模块，提高开发安全的保障水平。

针对已使用技术和新技术，创建开发安全相关的规范、指引和实践文档。

识别安全开发生命周期框架中需要改进和落实的领域，以进一步完善安全开发实践和纪律，逐步建立安全的程序库供开发人员使用。

与其他安全顾问沟通和协作，相互支持，一致地优化安全实践。

技能要求:

软性技能:

与人交互和影响的技能非常重要，该岗位需要与项目、开发团队紧密协作，并能够对改变和决策产生积极影响。

口语、书面表达和沟通技能。

开发经验:

架构/实施:理想的候选人需要具备架构和实施(开发)企业级应用的经验，并在组织中担当过it岗位。

软件开发:这个岗位不是日常的程序开发岗位，成功的候选人应具备在商业环境下程序开发的经验，尤其偏重于大型web应用开发项目。这需要掌握开发生命周期(sdlc)的知识和web安全的实践(如owasp实践集)。

编程语言:理想的候选人应具备在实践中使用不止一种开发语言的能力，如java， html5，perl， c/c++， c#， python。

深入了解web技术和框架，如javascript， jsp/servlet/ejb， asp.net， php， http/http， cookies， ajax， flex/silverlight。

移动平台:熟悉ios和安卓平台下的开发。

安全经验:

了解通常的应用层安全漏洞，能够可以向开发人员讲解漏洞的原理，风险和相应的控制。熟悉、实践过主流应用安全实践集如(owasp)，和移动安全领域的控制。

能够在开发过程中，评估安全相关的技术和功能性特性，识别威胁和脆弱的领域。具备参与设计阶段的经验。

能够从安全角度评审企业级应用的代码，借助工具的结果向开发人员讲解可能的安全漏洞。

候选人应熟悉、实践过安全相关的控制领域和措施，如身份验证，权限，身份管理，数据保护，输入输出验证，加密，软件攻击模型，安全的数据传输和存储。

具备使用动态漏洞评估和静态漏洞评估工具，甚至渗透测试或其他安全测试工具的经验。

其他:

5年以上工作经验。

硕士(大公司多年经验本科也可)

第2篇 应用安全顾问岗位职责

安全顾问-应用安全方向 具体职责:

在架构、设计和评审阶段与开发团队紧密合作。

向开发团队提供专业的安全指导和见解。具体的安全控制领域会涉及但不限于,安全的数据库访问,验证方式,会话管理,加密技术,权限设计与访问控制,安全测试,错误处理和日志,输入验证,安全存储设计。

根据应用系统生命周期安全管理要求,对所服务团队互联网系统进行安全风险评估,提出安全需求,并评估安全要求不能达到时的风险,向项目建议控制措施。;

与开发团队共同讨论,确定安全功能设计方案,提供方案实现的具体建议,供开发团队实现;

确定应用系统的各阶段安全测试方法、验证方法,准备测试用例、工具,组织或实施安全测试;

与开发团队共同分析测试中发现的问题,提出建议,督促及时整改;

向开发团队传授专业安全知识和技能;

归纳总结开发中遇到的经验和教训,形成一致的安全标准、安全功能模块,提高开发安全的保障水平。

针对已使用技术和新技术,创建开发安全相关的规范、指引和实践文档。

识别安全开发生命周期框架中需要改进和落实的领域,以进一步完善安全开发实践和纪律,逐步建立安全的程序库供开发人员使用。

与其他安全顾问沟通和协作,相互支持,一致地优化安全实践。

技能要求:

软性技能:

与人交互和影响的技能非常重要,该岗位需要与项目、开发团队紧密协作,并能够对改变和决策产生积极影响。

口语、书面表达和沟通技能。

开发经验:

架构/实施:理想的候选人需要具备架构和实施(开发)企业级应用的经验,并在组织中担当过it岗位。

软件开发:这个岗位不是日常的程序开发岗位,成功的候选人应具备在商业环境下程序开发的经验,尤其偏重于大型web应用开发项目。这需要掌握开发生命周期(sdlc)的知识和web安全的实践(如owasp实践集)。

编程语言:理想的候选人应具备在实践中使用不止一种开发语言的能力,如java, html5,perl, c/c++, c#, python。

深入了解web技术和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, ajax, flex/silverlight。

移动平台:熟悉ios和安卓平台下的开发。

安全经验:

了解通常的应用层安全漏洞,能够可以向开发人员讲解漏洞的原理,风险和相应的控制。熟悉、实践过主流应用安全实践集如(owasp),和移动安全领域的控制。

能够在开发过程中,评估安全相关的技术和功能性特性,识别威胁和脆弱的领域。具备参与设计阶段的经验。

能够从安全角度评审企业级应用的代码,借助工具的结果向开发人员讲解可能的安全漏洞。

候选人应熟悉、实践过安全相关的控制领域和措施,如身份验证,权限,身份管理,数据保护,输入输出验证,加密,软件攻击模型,安全的数据传输和存储。

具备使用动态漏洞评估和静态漏洞评估工具,甚至渗透测试或其他安全测试工具的经验。

其他:

5年以上工作经验。

硕士(大公司多年经验本科也可)

具体职责:

在架构、设计和评审阶段与开发团队紧密合作。

向开发团队提供专业的安全指导和见解。具体的安全控制领域会涉及但不限于,安全的数据库访问,验证方式,会话管理,加密技术,权限设计与访问控制,安全测试,错误处理和日志,输入验证,安全存储设计。

根据应用系统生命周期安全管理要求,对所服务团队互联网系统进行安全风险评估,提出安全需求,并评估安全要求不能达到时的风险,向项目建议控制措施。;

与开发团队共同讨论,确定安全功能设计方案,提供方案实现的具体建议,供开发团队实现;

确定应用系统的各阶段安全测试方法、验证方法,准备测试用例、工具,组织或实施安全测试;

与开发团队共同分析测试中发现的问题,提出建议,督促及时整改;

向开发团队传授专业安全知识和技能;

归纳总结开发中遇到的经验和教训,形成一致的安全标准、安全功能模块,提高开发安全的保障水平。

针对已使用技术和新技术,创建开发安全相关的规范、指引和实践文档。

识别安全开发生命周期框架中需要改进和落实的领域,以进一步完善安全开发实践和纪律,逐步建立安全的程序库供开发人员使用。

与其他安全顾问沟通和协作,相互支持,一致地优化安全实践。

技能要求:

软性技能:

与人交互和影响的技能非常重要,该岗位需要与项目、开发团队紧密协作,并能够对改变和决策产生积极影响。

口语、书面表达和沟通技能。

开发经验:

架构/实施:理想的候选人需要具备架构和实施(开发)企业级应用的经验,并在组织中担当过it岗位。

软件开发:这个岗位不是日常的程序开发岗位,成功的候选人应具备在商业环境下程序开发的经验,尤其偏重于大型web应用开发项目。这需要掌握开发生命周期(sdlc)的知识和web安全的实践(如owasp实践集)。

编程语言:理想的候选人应具备在实践中使用不止一种开发语言的能力,如java, html5,perl, c/c++, c#, python。

深入了解web技术和框架,如javascript, jsp/servlet/ejb, asp.net, php, http/https, cookies, ajax, flex/silverlight。

移动平台:熟悉ios和安卓平台下的开发。

安全经验:

了解通常的应用层安全漏洞,能够可以向开发人员讲解漏洞的原理,风险和相应的控制。熟悉、实践过主流应用安全实践集如(owasp),和移动安全领域的控制。

能够在开发过程中,评估安全相关的技术和功能性特性,识别威胁和脆弱的领域。具备参与设计阶段的经验。

能够从安全角度评审企业级应用的代码,借助工具的结果向开发人员讲解可能的安全漏洞。

候选人应熟悉、实践过安全相关的控制领域和措施,如身份验证,权限,身份管理,数据保护,输入输出验证,加密,软件攻击模型,安全的数据传输和存储。

具备使用动态漏洞评估和静态漏洞评估工具,甚至渗透测试或其他安全测试工具的经验。

其他:

5年以上工作经验。

硕士(大公司多年经验本科也可)