Application Security Specialist (ЦКБ)

Основные задачи

• Улучшение, пилотирование, внедрение и сопровождение процессов безопасной разработки.
• Проведение тестирования безопасности и сопровождение аудитов безопасности.
• Работа с инструментарием практик SCA, SAST, DAST, Secret Scanning, OSA и др.
• Доработка правил для анализаторов кода.
• Анализ выявленных уязвимостей, их проверка и приоритизация, разработка рекомендаций по устранению и контроль устранения.
• Проведение анализа архитектуры создаваемых и дорабатываемых ИТ-систем на безопасность, в том числе моделирование угроз.
• Консультация разработчиков по вопросам безопасности, проведение тренингов по вопросам безопасной разработки.

Пожелания к кандидату

• Высшее инженерно-экономическое, математическое, техническое образование;
• Опыт работы в области безопасности приложений от 1 года и стремление развиваться вглубь.
• Свободно ориентироваться в типах уязвимостей приложений OWASP Top 10 или CWE Top 25 и подходах по их устранению.
• Опыт работа с инструментарием практик SCA, SAST, DAST, Secret Scanning, OSA и др.
• Навыки поиска уязвимостей web-приложений.
• Навыки коммуникации, способность объяснить суть уязвимости простым языком и дать рекомендации по устранению с учетом контекста проекта.
• Умение читать код на различных языках.
• Понимание современных процессов и практик разработки ПО (Agile, CI/CD, SDL, DevOps), а так же shift-left и security by design.
• Понимание принципов работы современных веб-приложений (REST, CORS, CSP, SOAP, HTTPS, RPC, OAuth2, SAML и др).

Будет плюсом

Опыт участия в CTF и Bug Bounty.
Опыт разработки или автоматизации тестирования современных web-приложений, желательно на Java.
Обладание навыками Linux на уровне администратора (Nginx, Docker, K8s).
Опыт обеспечения безопасности контейнеризированных и облачных инфраструктур.
Опыт работы с Intercepting Proxy (Burp Suite, OWASP ZAP, etc.) и глубокой настройкой этих инструментов (желательно).
Опыт построения автоматических пайплайнов тестирования.
Опыт тестирования безопасности мобильных приложений.
Опыт автоматического тестирования на базе Swagger/OpenAPI спецификаций.
Наличие сертификаций (OSCP, OSWE, BSCP и др.)

*Вакансия, планируемая к созданию (перспективная).