Ali Yazdani
Leitender Produktsicherheitsingenieur
Erfahrungen
Juli 2024 - Dez. 2024
6 MonatenPrincipal Product Security Engineer
Payrails GmbH
- Definierte und implementierte eine umfassende Sicherheitsroadmap, die Shift-Left-Security, CNAPP und DevSecOps-Prinzipien integriert, um die sichere Produktentwicklung zu optimieren und das Risiko zu verringern.
- Etablierte ein robustes Bedrohungsmodellierungs-Framework, das Sicherheit in Designprozesse einbettet, um Schwachstellen frühzeitig zu erkennen und Risiken zu minimieren.
- Entwickelte ein skalierbares Schwachstellenmanagement-Programm zur beschleunigten Erkennung und Behebung, wodurch der Reaktionszyklus deutlich verkürzt wurde.
- Verbessertes Cloud- und Container-Sicherheit mit fortschrittlichen Tools wie Tetragon, um tiefere Einblicke zu erhalten und eine Defense-in-Depth-Strategie umzusetzen.
- Automatisierte Sicherheitskontrollen in CI/CD-Pipelines, um die kontinuierliche Auslieferung mit starken Schutzmaßnahmen aufrechtzuerhalten.
- Fördere bereichsübergreifende Zusammenarbeit, um Bedrohungen zu priorisieren und Behebungsmaßnahmen abzustimmen, und schaffe so eine einheitliche Sicherheitskultur.
- Sicherte die Einhaltung von Vorschriften und Audit-Bereitschaft durch Zusammenarbeit mit dem InfoSec-Team, um interne Richtlinien einzuhalten und Audits für Standards wie PCI-DSS und SOC 2 zu unterstützen.
Aug. 2022 - Juni 2024
1 Jahr 11 MonatenPrincipal Security Engineer
ScoutBee GmbH
- Verankerte sichere Entwicklungspraktiken durch Zusammenarbeit mit Entwicklungsteams, um Best Practices für sichere Programmierung umzusetzen und robuste CI/CD-Leitplanken zu etablieren.
- Verbessertes Cloud-Sicherheitsprofil durch Einführung von Infrastructure as Code (IaC)-Scans, Cloud-Native Application Protection Platforms (CNAPP) und Policy as Code.
- Führte Bedrohungsmodellierung und Workshops zu sicherem Programmieren durch, um Teams zu befähigen, Risiken frühzeitig in Design und Entwicklung zu erkennen und zu mindern.
- Integrierte SAST, SCA, IaC-Security-Scanning, Policy as Code und DAST in CI/CD-Pipelines über vier Projekte, um Behebungskosten und Durchlaufzeiten zu senken.
- Implementierte IAM/PAM und Zero Trust durch Entwurf und Einsatz von Lösungen, die Least-Privilege-Zugriff durchsetzen, einschließlich JIT-Zugriff, RBAC, MFA und kontinuierlicher Zugriffsüberwachung.
- Führte gezielte Bedrohungsmodellierungsübungen durch, um Software-Schwachstellen vor der Entwicklung zu reduzieren.
- Leitete Penetrationstests und Schwachstellenmanagement-Programme, verbesserte Zeit bis zur Behebung und erhöhte die Produktsicherheit insgesamt.
- Fördere eine DevSecOps-Kultur mit Schwerpunkt auf Shift-Left-Strategien im SDLC, um Bedrohungen früh zu erkennen und Sicherheitsrisiken zu reduzieren.
- Führte umfassende Sicherheitsbewertungen und Audits für Anwendungen und Infrastruktur durch, unter Einhaltung von Standards wie ISO 27001, TISAX, SOC 2 und DSGVO.
Feb. 2022 - Juli 2022
6 MonatenStaff Security Engineer
NewStore GmbH
- Entwickelte und implementierte Strategien zur Absicherung von Anwendungen und APIs mit sicheren Programmierpraktiken sowie robusten Authentifizierungs- und Autorisierungsmechanismen.
- Entwarf maßgeschneiderte Sicherheitskontrollen für AWS-Umgebungen und Kubernetes-Deployments, um die Cloud-Sicherheit zu stärken.
- Leitete Penetrationstests und Schwachstellenmanagement-Initiativen, um Sicherheitslücken in Anwendungen, APIs und Infrastruktur zu identifizieren und zu beheben.
- Führte Sicherheitsbewertungen und Audits durch, um die Einhaltung von Branchenstandards und Vorschriften wie ISO 27001, SOC 2 und DSGVO sicherzustellen.
Sept. 2021 - Feb. 2022
6 MonatenEngineering Lead DevSecOps
Henkel AG
- Integrierte fortschrittliche DevSecOps-Technologien in CI/CD-Pipelines, um die Sicherheit von Anwendungen und Infrastruktur zu stärken.
- Leitete Bedrohungsmodellierungssitzungen, um Sicherheitslücken in Softwaredesigns aufzudecken und zu beheben.
- Fördere eine Shift-Left-Strategie, indem ich Sicherheitskontrollen im gesamten SDLC in Zusammenarbeit mit DevOps-Teams einbette und so eine Kultur der kontinuierlichen Verbesserung und erhöhten Sicherheitsbewusstheit schaffe.
Juli 2019 - Aug. 2021
2 Jahren 2 MonatenSenior Security Engineer
Raisin GmbH
- Führte Schwachstellenbewertungen und Penetrationstests durch, um Sicherheitslücken in Anwendungen, APIs und Infrastruktur aufzudecken und zu beheben.
- Entwarf und bewertete Azure IaaS- und PaaS-Cloud- und Hybridinfrastrukturlösungen, um einen robusten Datenschutz zu gewährleisten.
- Wandte Bedrohungsmodellierungstechniken an, um Softwaredesigns und Infrastruktur zu bewerten und wirksame Gegenmaßnahmen zu implementieren.
- Führte Sicherheitstests und Code Reviews im SDLC durch, einschließlich Integration von SAST-, SCA- und DAST-Tools in CI/CD-Pipelines, um die Shift-Left-Sicherheitsstrategie zu unterstützen.
- Arbeitete mit Entwicklungs-, Betriebs- und Sicherheitsteams zusammen, um Sicherheitspraktiken in DevOps-Workflows zu verankern.
Dez. 2016 - Bis heute
8 Jahren 8 MonatenOpen-Source Security Contributions
- Leitete das OWASP DevSecOps Guideline-Projekt und entwickelte einen umfassenden Leitfaden zur Integration von Sicherheit in DevOps-Praktiken.
- Leistete Beiträge zum OWASP Mobile Security Testing Guide (MSTG) und half bei Erstellung und Verfeinerung dieses weithin anerkannten Frameworks für mobile Anwendungssicherheitstests.
Nov. 2015 - Apr. 2019
3 Jahren 6 MonatenRed Team Tech Lead
MTN Irancell
- Leitete Schwachstellenbewertungen und Penetrationstests, um Sicherheitslücken in Netzwerken, Anwendungen und Systemen zu identifizieren und zu beheben.
- Überprüfte Servicearchitekturen und führte Bedrohungsmodellierung für kritische Dienste durch, um Gegenmaßnahmen zum Schutz von Daten zu entwerfen.
- Setzte IT-Infrastruktur-Sicherheits-Checklisten für neue und bestehende Systeme durch, um die Einhaltung von Vorschriften sicherzustellen.
- Entwickelte Sicherheitstools und Automatisierungsskripte, um Prozesse zu optimieren.
- Formulierte und implementierte Sicherheitsrichtlinien, -verfahren und -standards in Übereinstimmung mit Best Practices der Branche.
Jan. 2011 - Dez. 2013
3 JahrenBachelorstudium Software-Engineering
jedeihe.ac.ir
März 2010 - Dez. 2018
8 Jahren 10 MonatenPenetrationstester
- Führte Web-Anwendungspenetrationstests mit Tools wie Burp Suite, OWASP ZAP und Nmap durch, um Schwachstellen wie XSS und SQL Injection aufzudecken.
- Testete mobile Anwendungen für iOS und Android mit MobSF, APK Analyzer und Frida, um Probleme wie unsichere Datenspeicherung aufzuspüren.
- Erstellte Schwachstellenberichte mit detaillierten Risikoanalysen und Empfehlungen zur Behebung und kommunizierte die Ergebnisse effektiv an technische und Management-Teams.
Jan. 2006 - Dez. 2009
4 JahrenJunior Softwareentwickler
jedeihe.ac.ir
Zusammenfassung
Erfahrener Sicherheitsingenieur mit über 10 Jahren Erfahrung in Telekommunikation, FinTech, Einzelhandel und SaaS. Ich integriere robuste Sicherheitspraktiken in die Softwareentwicklung durch DevSecOps, Bedrohungsmodellierung, Penetrationstests und Schwachstellenmanagement – und überbrücke so die Lücke zwischen technischen und geschäftlichen Teams.
Als Leiter des OWASP DevSecOps Guideline-Projekts und regelmäßiger Branchenreferent treibe ich sichere, kosteneffiziente Innovation voran und fördere eine Kultur der proaktiven Anwendungssicherheit.
Sprachen
Persisch
MutterspracheEnglisch
VerhandlungssicherAusbildung
Okt. 2011 - Juni 2013
jdeihe.ac.ir
Software-Engineering
Okt. 2006 - Juni 2009
jdeihe.ac.ir
Software-Engineering
Zertifikate & Bescheinigungen
OWASP DevSecOps Guideline
OWASP Foundation
OWASP Mobile Security Testing Guide (MSTG)
OWASP Foundation
Sie suchen Freelancer?Passende Kandidaten in Sekunden!
FRATCH GPT testenWeitere Aktionen
Ähnliche Freelancer
Entdecken Sie andere Experten mit ähnlichen Qualifikationen und Erfahrungen.
