Специалист по безопасности приложений (AppSec)

Чем предстоит заниматься:

• Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, MAST);

• Проводить тонкую настройку инструментов и формировать пользовательские правила;

• Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила;

• Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний;

• Формировать рекомендации по устранению недостатков и защите приложений;

• Взаимодействовать с командами разработки по согласованию технического долга.

Мы ищем человека, у которого:

• Общее понимание базовых принципов информационной безопасности, контроля доступа, криптографии;
• Базовое понимание сетевой модели OSI, основных протоколов;
• Понимание того как должна быть устроена безопасная разработка;
• Знание особенностей веб разработки и меры по обеспечению ее безопасности;
• Знакомство с OWASP Top 10, ASVS, WSTG, MASTG;
• Понимание методов популярных атак на веб-приложения;
• Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0);
• Опыт разработки на языках программирования высокого уровня. Умение разбираться в чужом исходном коде;
• Понимание того как устроена современная разработка;
• Знакомство с системами контроля версий. Умение работать с Git. Понимание того как происходит сборка приложений;
• Опыт работы с инструментами статического анализа кода (SAST);
• Опыт работы с инструментами анализа открытого ПО (OSA/SCA);
• Понимание SBOM. Опыт работы с инструментами динамического анализа веб приложений (DAST);
• Умение проходить лабораторные работы на Portswigger;
• Понимание основных принципов обеспечения безопасности REST API;
• Умение работать с Postman, Swagger;
• Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения.

Мы предлагаем:

• Гибридный или удаленный формат работы на территории РФ
• Шаговая доступность от ст. м. Мякинино, транспортная доступность от ст. м. Строгино, м. Щукинская, м. Тушинская, станция Трикотажная;
• График работы 5/2, пн-пт 10:00 – 18:30;
• Заработная плата по результатам собеседования;
• Аккредитованная ИТ компания;
• Трудоустройство в штат по ТК РФ;
• Комфортная атмосфера: культура поддержки и внутренние конкурсы;
• Корпоративная программа лояльности, скидки на товары и услуги партнёров;
• Отсутствие строгого дресс-кода;
• Обучение на базе Корпоративного университета;
• Дополнительные дни к отпуску за стаж работы.