Application Security инженер

СК Пульс - иншуртех-стартап в составе Росгосстраха. Мы делаем страхование удобным, гибким и прозрачным, разрабатывая продукты с цифровым клиентским путем — от оформления до урегулирования. Мы предлагаем нашим клиентам доступные продукты по подписке, которую можно настроить под себя в мобильном приложении или на сайте. Среди наших партнеров такие компании, как ВТБ, Теле2, Мегафон, Ростелеком, Велобайк.

О компании

Нас уже более 230 человек, и мы продолжаем расти дальше без бюрократии и легаси. В компании создано направление информационной безопасности численностью 5 человек. Основная цель - формирование безопасной среды для разработки и развития продукта, ИТ инфраструктуры компании. Сейчас мы начинаем поиск AppSec инженера, который имплементирует требования безопасности в разрабатываемые приложения, операционно и технологически выстроит процесс безопасной разработки программного обеспечения (Secure Software Development Lifecycle), поможет разработчикам с триажем выявленных уязвимостей и способами их устранения.

Над чем предстоит работать:

• Формировать требования безопасности к разработке ПО (OWASP ASVS, MASVS), оказание содействия DevSecOps в настройке средств контроля в рамках цикла безопасной разработки ПО (SSDLC), supply chain security. Контроль исполнения требований ИБ в разрабатываемом ПО
• Анализ результатов работы средств контроля (SAST\DAST\SCA): триаж, верификация багов, ручной code review, предложения по устранению уязвимостей или мерам митигации
• Организация security тестирования разрабатываемых мобильных и веб-приложений (OWASP WSTG, MSTG)
• Участие в настройке WAF для митигации отдельных угроз
• Консультирование внутренних и внешних команд разработки в вопросах организации процессов безопасной разработки ПО на всех этапах жизненного цикла
• Участие в процессе Security Awareness в части, касающейся цикла безопасной разработки ПО
• Участие в ревью архитектуры мобильного и веб-приложения

Нам важно:

• Уверенное понимание OWASP Top 10, ASVS, MASVS, 10 proactive controls, CVE\CWE\CVSS, Testing Guide, Code Review Guide и других применимых методологий, стандартов и практик в области безопасной разработки
• Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости, в т.ч. на архитектурном уровне
• Способность разбираться в чужом коде
• Опыт приоритизации устранения уязвимостей
• Опыт разработки на Java — как преимущество

Что мы предлагаем:

• Работу в современной технологичной компании с минимальным уровнем бюрократии и максимальной свободой действий
• Возможность оформления в аккредитованную ИТ компанию
• Оклад в рынке и годовой бонус за выполненные KPI
• Оформление по ТК РФ, отпуск 31 календарный день
• Обучение за счет компании и доступ к корпоративным онлайн-библиотекам
• Возможность работать удаленно или гибридно на территории РФ или в офисе (Москва, 3 мин пешком от м. Киевская)
• Мощный ноутбук, мониторы и прочее железо, необходимое для продуктивной работы
• ДМС со стоматологией, доплата 14 больничных дней в год до среднего заработка
• Корпоративный мерч, скидки на продукцию и другие подарки от компании