• Thực hiện đánh giá an toàn thông tin đối với ứng dụng web, mobile, API trong toàn bộ vòng đời
phát triển phần mềm.
• Tham gia đánh giá thiết kế an toàn (Secure Design / Security by Design) cho hệ thống, ứng dụng ngay từ giai đoạn
kiến trúc.
• Thực hiện Threat Modeling, xác định rủi ro, kịch bản tấn công và đề xuất biện pháp kiểm soát phù hợp.
• Triển khai và vận hành các hoạt động rà quét lỗ hổng bảo mật (Vulnerability Scanning) định kỳ cho hạ tầng và ứng dụng.
• Thực hiện kiểm thử xâm nhập (Pentest) và tham gia các hoạt động Red Team theo phạm vi được phê duyệt.
• Phân tích kết quả đánh giá, xác định mức độ rủi ro, khả năng khai thác và tác động tới hệ thống.
• Hỗ trợ đội phát triển trong việc khắc phục lỗ hổng, cải thiện chất lượng mã nguồn và cấu hình bảo mật.
• Tham gia xây dựng và triển khai DevSecOps: tích hợp kiểm tra bảo mật (SAST, DAST, SCA) vào CI/CD pipeline.
• Phối hợp với các bộ phận liên quan nhằm nâng cao mức độ an toàn của ứng dụng và hệ thống CNTT.
• Lập báo cáo đánh giá ATTT, báo cáo pentest/red team và đề xuất các biện pháp cải tiến bảo mật.
• Tốt nghiệp Đại học chuyên ngành An toàn thông tin, Công nghệ thông tin hoặc các ngành liên quan.
• Có từ 03 năm kinh nghiệm trong lĩnh vực Pentest, Application Security hoặc đánh giá ATTT.
• Có kiến thức vững về lập trình ứng dụng web/mobile, hiểu nguyên tắc secure coding.
• Nắm vững các phương pháp phát hiện và khắc phục lỗ hổng theo OWASP Top 10, API Security.
• Có kinh nghiệm sử dụng các công cụ pentest và rà quét lỗ hổng (Burp Suite, Nessus, Nmap, OWASP ZAP...).
• Có hiểu biết về DevSecOps, CI/CD và các công cụ SAST/DAST/SCA là lợi thế.
• Có tư duy tấn công - phòng thủ, khả năng phân tích kỹ thuật và viết báo cáo rõ ràng.