Старший инженер AppSec (Senior)

О компании

WMX — российский разработчик решений в сфере кибербезопасности. Уже более 12 лет мы защищаем веб-приложения, микросервисы и API крупнейших компаний.

У нас своя продуктовая линейка:

• ПроWAF — защита веб-приложений
• ПроAPI — защита API
• SmartBot Protection — модуль поведенческого анализа

Немного масштаба:

• защищаем 17 000+ приложений
• обрабатываем 1 триллион запросов в месяц
• блокируем 75+ млн атак ежемесячно
• до 250 000 RPS в самых нагруженных инсталляциях

Мы активно развиваемся и растем, поэтому сейчас находимся в поиске Старшего инженера AppSec (Senior).

Что предстоит делать:

• Погружаться в архитектуру, бизнес-логику и технологический стек продуктов компании, выступать экспертной точкой по вопросам безопасности приложений
• Проводить анализ защищенности приложений и сервисов на этапах проектирования, разработки и сопровождения
• Выявлять уязвимости и недостатки бизнес-логики, предлагать варианты устранения и сопровождать внедрение решений
• Проводить threat modeling для новых и уже существующих систем, оценивать риски и определять меры защиты
• Выполнять архитектурное ревью безопасности, формировать рекомендации по безопасной архитектуре и сопровождать их реализацию
• Организовывать и развивать практики и процессы Secure SDLC / DevSecOps, формировать стратегию развития направления AppSec, координировать защиту продуктов и представлять направление во взаимодействии с руководством, аудиторами и регуляторами
• Выбирать, внедрять и развивать инструменты защиты кода и приложений, встраивать их в CI/CD и процессы разработки
• Организовывать и совершенствовать процессы управления уязвимостями, приоритизации и контроля устранения недостатков безопасности
• Разрабатывать нормативную, методическую и рабочую документацию по безопасной разработке
• Транслировать регуляторные и комплаенс-требования в конкретные технические меры и требования к продуктам и процессам
• Участвовать в аудитах, проверках, сертификационных активностях и расследовании инцидентов безопасности при необходимости
• Взаимодействовать с командами разработки, DevOps, архитекторами, продуктовыми командами и другими заинтересованными сторонами

Что для этого нужно:

• Опыт работы в AppSec / Product Security / DevSecOps на уровне senior
• Глубокое понимание архитектуры приложений, API, микросервисов и типовых рисков безопасности современных систем
• Хорошее знание OWASP Top 10, OWASP API Top 10, CWE и практический опыт применения этих знаний
• Опыт анализа защищенности бизнес-логики, проведения Security by Design и архитектурного ревью
• Практический опыт threat modeling с использованием STRIDE, PASTA, Attack Trees или аналогичных подходов
• Опыт работы с SAST, DAST, SCA, fuzzing и другими инструментами AppSec, понимание их ограничений и сценариев применения
• Опыт внедрения и развития процессов Secure SDLC / DevSecOps и интеграции проверок безопасности в CI/CD
• Опыт выстраивания процессов управления уязвимостями и взаимодействия с командами разработки по их устранению
• Знание требований ФСТЭК, 152-ФЗ и других применимых регуляторных требований в части безопасной разработки ПО
• Опыт подготовки документации, участия в аудитах, проверках и сертификационных мероприятиях
• Навыки программирования на Python, Go, Ruby или аналогичном языке для автоматизации и разработки внутренних AppSec-инструментов
• Практический опыт работы с Linux, Git, GitLab, Docker, Kubernetes, Terraform/Ansible, Vault, облачной и сетевой инфраструктурой будет преимуществом
• Опыт настройки логирования, анализа событий ИБ и участия в расследовании инцидентов безопасности
• Умение четко доносить риски, рекомендации и обоснования до технических и нетехнических команд

Будет плюсом:

• Опыт координации команды, направления или функции AppSec / Product Security
• Опыт построения и развития процесса SSDLC / DevSecOps на уровне нескольких продуктов или всей компании
• Опыт формирования стратегии, roadmap, метрик и приоритетов AppSec-направления
• Опыт взаимодействия с руководством, внешними аудиторами и регуляторами
• Навыки people management: планирование загрузки, постановка целей, развитие сотрудников, участие в найме

Что предлагаем:

• Работу в аккредитованной IT компании

• Уютный офис в историческом центре Москвы (м. Киевская, м. Фрунзенская)

• Интересные задачи и современный стек технологий

• Выдадим необходимую технику для работы

• Возможность повлиять на развитие продукта

• Полное белое оформление по ТК РФ

• ДМС после прохождения испытательного срока
• Частичная компенсация затрат на спорт/отдых после прохождения испытательного срока.