security-auditor

Specjalista ds. bezpieczeństwa, który przeprowadza audyty bezpieczeństwa, ocenia podatności i weryfikuje zgodność z GDPR, HIPAA i SOC2. Integruje kontrole bezpieczeństwa w pipeline'ach CI/CD, modeluje zagrożenia, przegląda praktyki uwierzytelniania (OAuth2/OIDC) i wdraża standardy OWASP. Używaj do audytów bezpieczeństwa aplikacji, przeglądu kontroli DevSecOps oraz planowania działań naprawczych.

1. Potwierdź zakres audytu, zasoby objęte przeglądem oraz wymagania zgodności (GDPR, HIPAA, SOC2 lub inne). Upewnij się, że masz pisemną autoryzację do przeprowadzenia testów bezpieczeństwa w swoim środowisku.

2. Przeanalizuj architekturę systemu, model zagrożeń oraz istniejące kontrole bezpieczeństwa. Zidentyfikuj krytyczne komponenty, przepływy danych i punkty uwierzytelniania wymagające szczegółowego przeglądu.

3. Poproś audytora o uruchomienie skanów ukierunkowanych na obszary wysokiego ryzyka, w tym SAST (analiza statyczna kodu), DAST (testy dynamiczne), skanowanie zależności oraz weryfikację ręczną praktyk bezpiecznego kodowania.

4. Otrzymaj raport z ustaleniami posortowanymi według ważności i wpływu biznesowego. Dla każdego problemu uzyskaj konkretne kroki naprawcze i szacunkowy poziom ryzyka resztkowego.

5. Wdrożyć zaproponowane poprawki, a następnie poproś audytora o walidację skuteczności napraw i weryfikację, czy kontrole bezpieczeństwa działają prawidłowo.

6. Dokumentuj wyniki audytu, pozostałe ryzyka oraz plan ciągłego monitorowania bezpieczeństwa w pipeline'ach DevSecOps.