Senior Application Security Engineer

Наша распределенная команда Dev насчитывает более 800 специалистов и разрабатывает собственные продукты с 2012 года – рекламные платформы, игровые сервисы и платформы, мобильные игровые приложения, финтех-продукты и решения.

У нас проектно-ориентированный подход, матричная структура с привязкой специалистов к одному проекту, но при этом мы работаем командой. В работе мы применяем SCRUM, Agile.

Мы ищем опытного специалиста по безопасности приложений с практическим опытом не менее 6 лет, который будет отвечать за оценку безопасности веб и мобильных приложений, аудит исходного кода, внедрение безопасных практик разработки и поддержку процессов DevSecOps. Нам нужен кандидат, который умеет находить уязвимости, работать с командами разработки для их устранения и внедрять инструменты автоматизированного анализа безопасности.

Обязанности:

• Анализ безопасности веб-приложений, мобильных приложений и API.

• Проведение аудита исходного кода и CI/CD-процессов на предмет уязвимостей.

• Внедрение и сопровождение инструментов SAST, DAST, IAST, SCA.

• Разработка и внедрение безопасных практик и стандартов разработки (например, OWASP Developer Guide).

• Поддержка процесса управления уязвимостями: триаж, приоритизация и координация исправлений с разработкой.

• Участие в основных security-активностях в процессе разработки: сбор требований по безопасности, моделирование угроз, оценка рисков, аудит исходного кода.

• Обучение и консультирование команд разработчиков по вопросам безопасного кода и архитектуры.

• Участие в оценке архитектуры новых приложений и решений с точки зрения безопасности.

• Опыт работы в области Application Security не менее 5–6 лет.

• Глубокие знания уязвимостей веб-приложений (OWASP Top 10, RCE, SSRF, XSS, SQLi, LFI/RFI и др.).

• Опыт работы с инструментами SAST, DAST, IAST, SCA.

• Умение проводить аудит исходного кода как минимум на одном из основных языков (PHP, Java, Python, JavaScript/TypeScript, Go, .NET и др.).

• Понимание DevOps и CI/CD процессов, интеграции security-инструментов.

• Навыки написания скриптов и автоматизации (Python, Bash, PowerShell — желательно).

• Понимание и практический опыт применения SSDLC методологий (OWASP SAMM, BSIMM, Microsoft SDL).

• Английский — технический уровень для чтения документации.

Будет плюсом:

• Сертификаты: BSCP, OSWA, OSWE, CCSP, CISSP или аналогичные квалификации.
• Опыт работы с облачными платформами (AWS, Azure, GCP) и безопасностью облачных приложений.
• Опыт внедрения DevSecOps практик в крупной инфраструктуре.

• Оформление в штат компании или международный контракт. Несколько способов выплат;

• Full remote или гибридный офис, работа из любой страны с удобным часовым поясом;

• Соц.пакет: ДМС, корпоративный английский, льготная система по отпускам и больничным;

• Гибкий график - лояльное начало дня с 9.00 до 11.00 по МСК, 8 часов рабочий день;

• Возможность выбрать привычное оборудование с доставкой на дом;

• Performance review;

• Развитая культура коммуникаций: турниры онлайн и оффлайн, тех комьюнити, митапы, co-working дни, встречи и пати на летней веранде, тимбилдинги;

• Офис с панорамой на Москву-реку и летняя веранда с гамаками и пиццей для тех, кто работает в Москве и локальные тимбилдинги в других городах и странах для удаленщиков.