AISB-716 Application Security Engineer

Kontext der Position

In einer kritischen IT-Umgebung mit hoher Verfügbarkeit zielt diese Position darauf ab, die Anwendungssicherheit über den gesamten Softwareentwicklungszyklus hinweg zu stärken. Die Rolle befindet sich an der Schnittstelle von IT-Sicherheit, Softwareentwicklung und DevOps und hat direkten Einfluss auf die Resilienz und den Reifegrad der Anwendungssicherheit

Eine enge Zusammenarbeit mit den Teams aus Entwicklung, Applikationen, Infrastruktur und Cybersecurity ist erforderlich, um Security-Best-Practices in CI/CD-Pipelines zu integrieren und eine effektive Behebung von Schwachstellen sicherzustellen.

Hauptaufgaben

• Analyse und Behebung von Anwendungsschwachstellen aus SAST-, DAST-, SCA-Scans, Penetrationstests und weiteren Sicherheitstools
• Behebung von Schwachstellen auf Code-, Bibliotheks-, Abhängigkeits- und Konfigurationsebene
• Identifikation und Bewertung von False Positives zur effektiven Priorisierung
• Integration von Sicherheitstools in CI/CD-Pipelines (DevSecOps-Ansatz)
• Implementierung oder Optimierung von Tools zur Schwachstellenerkennung
• Durchführung von Secure Code Reviews und Sicherheitsbewertungen von Architekturen
• Mitwirkung bei Threat Modeling und Security Design Reviews
• Beitrag zur Reduzierung technischer Schulden und zur Verbesserung des Sicherheitsreifegrads
• Enge Zusammenarbeit mit Teams, die für Schwachstellenmanagement auf OS- und Infrastrukturebene verantwortlich sind

Technisches Umfeld

• Moderne CI/CD-Pipelines (GitLab, Azure DevOps oder vergleichbar)
• Containerisierung und Orchestrierung: Docker, Kubernetes
• SAST / DAST / SCA Tools (z. B. Qualys, Penetrationstest-Berichte etc.)
• Applikations-Stack: Java, JavaScript/Node.js, TypeScript, Angular, ggf. .NET oder Python
• On-Premise-Data-Center-Umgebung
• Referenzframeworks: OWASP Top 10 und Secure Coding Frameworks

Gesuchtes Profil

• Fundierter Hintergrund in der Softwareentwicklung (Fähigkeit, produktiven Code zu lesen und zu ändern)
• Nachgewiesene Erfahrung in Application Security oder sicherer Softwareentwicklung
• Sehr gute Kenntnisse gängiger Schwachstellen und der OWASP Top 10
• Praktische Erfahrung in der Behebung von Schwachstellen auf Code- und Konfigurationsebene
• Gute Kenntnisse von CI/CD-Pipelines und DevSecOps-Praktiken
• Fähigkeit, Scan-Ergebnisse zu analysieren und echte Risiken von False Positives zu unterscheiden
• Erfahrung in Hochverfügbarkeitsumgebungen
• Ausgeprägte Team- und Kommunikationsfähigkeiten im technischen Umfeld

Von Vorteil

• Erfahrung im Threat Modeling
• Kenntnisse im Bereich Cloud Security
• Erfahrung mit Schwachstellenmanagement-Prozessen

Erwartete Technische Kompetenzen

• Java (Fortgeschritten)
• DevOps (Fortgeschritten)
• Docker & Kubernetes (Fortgeschritten)
• Git (Fortgeschritten)
• Middleware (Fortgeschritten)
• SDLC (Fortgeschritten)
• Angular (Mittelstufe)
• Spring Boot (Mittelstufe)

Sprachen

• Englisch: Verhandlungssicher
• Französisch: Berufliche Arbeitssprache

Diese Position richtet sich an eine erfahrene technische Fachkraft, die eine zentrale Rolle bei der Absicherung kritischer Anwendungen übernehmen und aktiv zu einem strukturierten und ausgereiften DevSecOps-Ansatz beitragen möchte.