Ведущий инженер по безопасности приложений (AppSec)
Мы ищем в нашу команду ведущего инженера по безопасности приложений (AppSec) с опытом работы 3-6 лет.
Обязанности
- Имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения.
- Моделирование угроз и формирование требований безопасности.
- Внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов.
- Проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей.
- Осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности.
- Внедрение, настройка и поддержка WAF, реагирование на атаки.
- Участие в расследовании инцидентов информационной безопасности.
- Сопровождение внешних тестирований на проникновение.
Требования
- Знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки.
- Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне.
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.).
- Умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir).
- Знание SQL (PostgreSQL).
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение.
- Навыки работы с инструментами SAST, DAST, SCA/OSA, др.
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps.
Технологический стек:
- Фреймворки: aiohttp, sqlalchemy, asyncpg, poetry, django, websockets, react, redux, socket.io, elixir, ecto, tensorflow;
- СУБД: postgresql, mongodb;
- Журналирование, мониторинг: graylog, prometheus, grafana, elasticsearch, fluent-bit;
- Контейнеризация и доставка: docker, dockerize, docker-compose, kubernetes, gitlab-runner, ansible.
Будет преимуществом:
- языки: python3, javascript, typescript, erlang;
- образование (курсы) в области application security, ethical hacking, penetration testing;
- опыт участия в Bug Bounty, CTF.