¿Qué hace un ingeniero de auditoría de código?
Los ingenieros de auditoría de código verifican si hay fallas de seguridad en el código fuente, verifican si existen riesgos de seguridad en el código fuente del programa y brindan sugerencias y medidas de modificación del código. El contenido del trabajo del ingeniero de auditoría de código es el siguiente:
1. Utilice herramientas de auditoría de código para completar la auditoría del código fuente del proyecto y revise las vulnerabilidades descubiertas, como las vulnerabilidades web comunes: vulnerabilidades de inyección, vulnerabilidades de secuencias de comandos entre sitios y vulnerabilidades de carga, vulnerabilidades de falsificación de solicitudes entre sitios, etc.
2. Cooperar para completar el trabajo relacionado con la auditoría del código fuente, tales como: formulación de estándares de codificación segura, compilación de guías de auditoría del código fuente, referencia de código de desarrollo seguro y capacitación en habilidades de auditoría del código fuente, etc.
3. Realizar un seguimiento del proceso de desarrollo de los desarrolladores, ayudar en el análisis y reparación de vulnerabilidades del código fuente.
4. Cuando se produzca un ataque a la red o un incidente de seguridad, proporcionar servicios de respuesta de emergencia para ayudar a los usuarios a recuperar sus sistemas e investigar y recopilar pruebas para rastrear, analizar e investigar los principales incidentes de seguridad y las últimas amenazas a la seguridad; Campo de Internet.
5. Responsable del procesamiento de muestras de virus, análisis inverso de código malicioso y redacción de informes de análisis.
6. Analizar los principios de funcionamiento de troyanos y virus y proporcionar planes de eliminación.
Competencias requeridas por los ingenieros de auditoría de código:
1. Dominar los estándares técnicos actuales, las especificaciones y las leyes y regulaciones relevantes relacionadas con la seguridad de la red.
2. Familiarícese con los algoritmos de cifrado de uso común, como el cifrado simétrico, el cifrado asimétrico, los algoritmos hash, etc.
3. Familiarizado con la auditoría de seguridad de código y el sistema de ciclo de vida de desarrollo de seguridad de software SDL.
3. Familiarícese con el análisis y la prevención de vulnerabilidades de seguridad web comunes, como inyección SQL, XSS, CSRF y otros riesgos de seguridad TOP 10 de OWASP.
4. Estar familiarizado con los procesos de desarrollo de software y las teorías y métodos de prueba de código fuente.
5.Comprender los conceptos y protocolos relacionados con la arquitectura de redes informáticas.
6. Comprender las tecnologías y vulnerabilidades comunes de seguridad del software operativo y de aplicaciones.
7. Tener experiencia práctica en pruebas de seguridad de código fuente y ser capaz de descubrir riesgos de seguridad o vulnerabilidades de seguridad en el sistema mediante una inspección rápida del código.