Инженер Application Security

Обязанности:

• Имплементировать SSDLC, определять требования по безопасной разработке, контролировать их выполнение;
• Внедрять, настраивать и использовать инструменты безопасной разработки (SAST, DAST, SCA/OSA, др.), анализировать отчеты с результатами работы этих инструментов;
• Проводить анализ безопасности разрабатываемого программного обеспечения и его архитектуры, выявлять уязвимости;
• Осуществлять контроль устранения обнаруженных уязвимостей и консультировать по вопросам безопасности.

Требования:

• Знание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• Понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps;
• Навыки работы с инструментами SAST, DAST, SCA/OSA, др., в частности, опыт встраивания инструментов безопасности в pipeline GitLab;
• Умения писать пайплайны с нуля, пользоваться инклюдами и шаблонами.
• Опыт харденинга k8s (например, CIS Benchmarks) и опыт работы с runtime security решениями для k8s;
• Опыт харденинга docker containers (применение безопасных настроек для контейнеров и конфигурация безопасных образов);
• Умение разбираться в чужом коде (Golang/Python/bash/SQL);
• Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.).