Специалист AppSec

- Разрабатывать и внедрять политики и стандарты безопасности приложений (и систем).

- Развивать DevSecOps, методы безопасного кодирования, тестирование безопасности и соответствие требованиям.

- Сотрудничать с командами разработчиков для обеспечения безопасности жизненного цикла разработки программного обеспечения (SDLC).

- Контролировать интеграцию элементов управления безопасностью в проектирование, разработку и развертывание приложений.

- Проводить регулярные проверки кода (code review), тесты на проникновение и оценки уязвимостей для выявления потенциальных рисков.

- Сотрудничать с командами разработки, контроля качества и DevOps для внедрения безопасности в гибкие методы разработки.

- Управлять выбором и развертыванием инструментов и фреймворков тестирования безопасности для проверки приложений.

- Обеспечивать соответствие отраслевым стандартам и правилам, связанным с безопасностью приложений.

- Предоставлять обучение и руководство по методам безопасной разработки и новым угрозам для приложений.

- 5+ лет в кибербезопасности и 3+ года на руководящей должности.

- Предпочтительны следующие сертификаты: CISSP (технический фокус) или CISM (управленческий фокус).

- Английский обязателен, русский и/или узбекский язык.

- Хорошее понимание фреймворков и стандартов кибербезопасности (ISO 27001, NIST)

- Глубокое понимание концепций и принципов безопасности приложений

- Знание инструментов и методов безопасности приложений (например, сканеры уязвимостей, инструменты анализа кода)

- Экспертиза в области методов и методологий безопасного кодирования.

- Фреймворк OWASP, защищаемые архитектуры, глубокая защита.

- Опыт работы в сфере обеспечение безопасности мобильных приложений.

- Опыт в работе с Криптографией и PKI.

- Опыт работы с Docker и Kubernetes: понимание атак на контейнеры, RBAC, Pod Security Policies, безопасность registry.

Знания и инструменты:

- SAST: Semgrep, SonarQube, Checkmarx или аналог.

- DAST: Burp Suite Pro, OWASP ZAP.

- SCA/SBOM: Trivy, Grype, OWASP Dependency-Check, Syft.

- CI/CD: GitLab CI, Jenkins.

- API security: OAuth2, OpenID Connect, best practices для авторизации и rate limiting.

- Oracle security: безопасные вызовы из PL/SQL, работа с UTL_HTTP, защита от SQL-инъекций.

- Опыт работы с инстрментами обеспечения безопасности мобильных приложений MobSF, Frida, Burp Suite Mobile Assistant, Objection.

- Понимание требований к защите PII, PCI DSS, GDPR, 152-ФЗ, ISO 27001 (в рамках приложений).

Плюсом будет:

- Опыт в развитии безопасности AI/ML.

- Опыт в проведении внутренних аудитов безопасности.

- Наличие сертефикатов по CISSP, CISM, OSWE, CSSLP, eWPTX, SANS SEC542/573, CEH.

- Опыт bug bounty / CTF, участие в open source-проектах по AppSec.

- Опыт внедрения Security Champions Program.

• Конкурентоспособная заработная плата
• Корпоративное обучение и развитие;
• Удобное месторасположение офиса;
• Тренажерный зал, шахматы, мафия
• График работы 5/2, с 9.00 до 18.00;
• Трудоустройство согласно ТК РУЗ.
• Тимбилдинги и праздники.
• Участие в конференциях и форумах.
• Современное здание и офис в стиле High-tech

• Перед тем, как откликаться на вакансию, просим внимательно ознакомиться с требованиями, если Вы тот самый то мы вас ждем.

  С уважением, HR Департамент