Инженер Информационной безопасности (AppSec)

Чем предстоит заниматься:

• Обеспечение безопасности приложений и сервисов на всех этапах жизненного цикла разработки.
• Реализация процессов Application Security: анализ SAST, DAST, SCA, контейнерных и dependency-сканов.
• Интеграция проверок безопасности в CI/CD пайплайны.
• Формирование и поддержка SBOM, анализ зависимостей и связанных уязвимостей.
• Проверка сторонних библиотек, зависимостей и Docker-образов на предмет рисков.
• Проведение threat modeling и участие в проектировании безопасной архитектуры.
• Участие в полном процессе Vulnerability Management: обнаружение, triage, оценка риска, приоритизация и контроль устранения уязвимостей.
• Проведение инфраструктурных сканирований (Rapid7, OpenVAS или аналогичные решения).
• Анализ CVE, оценка критичности по CVSS и подготовка рекомендаций по устранению.
• Взаимодействие с Dev, DevOps и инфраструктурными командами по вопросам remediation.
• Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей.
• Подготовка документации, отчётов, методологий и рекомендаций по безопасности.

Требования:

• Высшее образование в области информационных технологий или информационной безопасности.
• Опыт работы в AppSec и/или Vulnerability Management не менее 3 лет.
• Отличное понимание OWASP Top 10, OWASP ASVS, CWE и механизмов эксплуатации веб-уязвимостей.
• Понимание принципов реализации атак: XSS, SQLi, SSRF, IDOR, XXE, Path Traversal, RCE и других распространённых векторов.
• Практический опыт работы с инструментами AppSec: Semgrep CE, Bandit, Gitleaks, Trivy, Syft/Grype, OWASP ZAP, Nuclei.
• Опыт интеграции SAST/SCA/DAST в CI/CD (GitLab CI, GitHub Actions, Jenkins).
• Опыт работы с инфраструктурными сканерами уязвимостей (Rapid7, OpenVAS).
• Умение проводить triage уязвимостей, определять приоритеты и оценивать риски.
• Знание CVE, CVSS, MITRE ATT&CK и умение применять их при анализе угроз.
• Опыт формирования и использования SBOM (CycloneDX, SPDX).
• Опыт анализа результатов SAST/DAST/SCA и инфраструктурных отчётов.

• Навыки проведения threat modeling и анализа архитектуры приложений.

  Дополнительные требования

  • Понимание сетевого стека: TCP/IP, HTTP/HTTPS, DNS, DHCP, TLS, основы маршрутизации.
  • Знание принципов сетевой безопасности: ACL, NAT, VPN, firewalls, proxy, IDS/IPS.
  • Опыт работы с Docker и понимание основ Kubernetes и угроз контейнерной безопасности.
  • Базовые навыки чтения и понимания кода (желательно Python, Java, JavaScript/TypeScript).
  • Понимание принципов работы API: REST, JSON, JWT, OAuth2.
  • Понимание подходов Secure SDLC
  • Умение работать с Git, pull requests, пайплайнами и артефактами сборки.
  • Приветствуются сертификаты: Security+, CEH, OSCP, OSWE, GWAPT, CSSLP.
  • Уверенное чтение технической документации на английском языке.

Мы предлагаем:

• Английский и Казахский языки: бесплатно и удобно, прямо внутри компании;
• Заботимся о форме и здоровье: компенсируем фитнес и медицинские услуги;
• Мы за активный отдых: футбол, баскетбол, яркие летний и зимний корпоративы;
• Корпоративная библиотека для поиска идей и решения рабочих задач;
• Настольный теннис в офисе для коротких перерывов и заряда энергией.