Специалист по информационной безопасности/AppSec

Чем предстоит заниматься:

• Участие в процессе безопасной разработки:
• Формирование требований ИБ к продуктам;
• Формирование требований по обеспечению защищенности разрабатываемого приложения;
• Оценка рисков безопасности приложения;
• Инициирование инструментальных проверок разрабатываемого продукта;
• Ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки;
• Триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• Углубленный анализ уязвимостей в разрабатываемого ПО;
• Контроль поставки на исправление подтвержденных уязвимостей;
• Формирование предложения по компенсирующим мерам и их оценке;
• Внедрение AppSec-практик в команды разработки;
• Поддержка и конфигурация внедренных средств анализа защищенности (обновление базы решающих правил, отключение FP правил, написание новых правил).

• Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности;

• Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (fuzzing/SAST/DAST/SCA/CA);
• Умение работать с Checkmarx, PT AI, Svace, Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy, Gitleaks, TruffleHog и т.п.);
• Анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA);
• Опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.);
• Опыт работы с инструментами контейнеризации и их настройки;
• Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п.;
• Знание скриптовых языков программирования (Bash / Powershell / Python);
• Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей;
• Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них;
• Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.);
• Знания технологий виртуализации и контейнеризации;
• Глубокий уровень понимания ОС *nix;
• Знание английского на уровне чтения технической литературы, коммуникабельность, опыт выступление на вебинарах.

Будет плюсом:

• Наличие профильных сертификатов (CEH, OSCP, OSWE и пр.);
• Опыт участия в соревнованиях (CTF и пр.);
• Опыт участия в bug bounty-программах;
• Наличие собственных разработок или участие в open-source проектах;
• Опыт участия в профильных конференциях в качестве докладчика;
• Наличие публикаций по компьютерной безопасности;
• Опыт работы с OpenShift/OKD/Rancher;
• Разработка PoC и эксплойтов;
• Опыт работы разработчиком ПО;
• Опыт написания правил для обнаружения уязвимостей и создания регулярных выражений для их поиска;
• R&D - работа по внедрению ИИ для автоматизации процессов тестирования безопасности приложений.