雇佣一名AppSec工程师-找什么？

Question

我正在尝试雇用一个AppSec工程师来手动检查我们的源代码，并且只能找到那些使用appscan工具进行安全代码评审的人。有什么特别的东西，我应该改变或搜索，以找到一个人谁可以审查的代码手动？

C# .Netcore 2.2

Answer 1

当你雇用一个人时，你这样做是因为你希望他们能给你的公司带来价值。您对应用程序安全工程师的期望是什么？

如果你回答“让我们的产品更安全”，那么在我看来，你并没有真正考虑安全问题。也许这也不是你的专业领域，这也很好。我们都是从某个时候开始的。

问问自己，你到底想让这个人做什么？你是在找一个发现缺陷并提出应对措施的人吗？还是您正在寻找一个能够改进您的流程和整体代码体系结构的人来主动地提高您的安全性？

一旦你决定了你真正想让未来的员工为你的公司提供的东西，问问自己他们的技能是如何适应这一点的。例如，如果您正在处理一个由于根本没有现有安全知识而被破坏的代码库，那么构建安全体系结构的经验丰富的人可能是一个不错的选择。

但是，如果一个未来的员工不完全符合你希望他们做的工作，不要灰心。人的进化，如果你积极的目标是让这个员工在你希望他们拥有的地方(例如，通过提供他们的专业培训，派他们去参加会议等等)，那么你将不可避免地得到一个对你的公司基础设施非常有价值的人。

我知道“这取决于你想要什么”不是你所期望的答案。如果我列出了一些人需要具备的技能和证书，那肯定会容易得多，但最终这并不是你想要的方式。