Инженер по безопасности приложений (AppSec)

Обязанности

• Работа со сканерами и инструментами SAST, SCA, SecretScan, DAST, Fuzzing, Dependency track, defectdojo;
• Проведение триажа отчетов сканеров для нескольких команд;
• Формирование требований безопасности и контроль их соблюдений в процессе разработки;
• Проведение анализа безопасности дизайна и архитектуры разрабатываемых продуктов и сервисов;
• Коммуникация и работа с Security Champions, TeamLead команд разработки по вопросам безопасности приложений;
• Проведение аудитов для сервисов и продуктов на соответствие техническим требованиям внутренних ВНД Компании по кибербезопасности;
• Выявление и помощь в устранении уязвимостей в бизнес логике и дефектов в приложениях;
• Проведение мероприятий по обучению и повышению осведомленности сотрудников отдела разработки в области безопасности приложений;
• Моделирование угроз безопасности для разрабатываемых приложений и сервисов;
• Проведение тестирования безопасности разрабатываемых и внедряемых продуктов и сервисов;
• Опыт анализа результатов сканирования, фильтрации false positive и постановки задач разработчикам.

Требования

• Практический опыт работы в области информационной безопасности в роли application security или DevSecOps от 2х лет;
• Практический опыт обеспечения безопасности веб-приложений, API, микросервисов;
• Опыт взаимодействия с командами разработки, QA, DevOps, архитекторами;
• Опыт внедрения или сопровождения процессов SSDLC.

Профессиональные знания и навыки

Глубокое понимание принципов безопасности приложений:

• OWASP Top 10;
• CWE;
• CVSS;
• Основные классы уязвимостей: XSS, SQL Injection, SSRF, CSRF, IDOR, RCE, insecure deserialization, broken authentication и др.;

Понимание архитектуры современных приложений:

• Веб-приложения;
• REST / GraphQL / SOAP API;
• Микросервисная архитектура.

Будет плюсом

• Контейнеризация и k8s;
• Threat modeling;
• Secure design review;
• Security code review;
• Управление уязвимостями;
• Верификации исправлений.

Условия

• Стильный офис около м. Кутузовская;
• Интересные проекты с известными брендами;
• Возможность развиваться благодаря обучению;
• Ну и конечно же конкурентная заработная плата и премия;
• А также расширенный социальный пакет: ДМС, НС, ВЗР, корпоративные скидки и активную спортивную жизнь.