Ведущий инженер по безопасности приложений (AppSec)

Мы ищем в нашу команду ведущего инженера по безопасности приложений (AppSec) с опытом работы 3-6 лет.

Обязанности

  • Имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения.
  • Моделирование угроз и формирование требований безопасности.
  • Внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов.
  • Проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей.
  • Осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности.
  • Внедрение, настройка и поддержка WAF, реагирование на атаки.
  • Участие в расследовании инцидентов информационной безопасности.
  • Сопровождение внешних тестирований на проникновение.

Требования

  • Знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки.
  • Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне.
  • Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.).
  • Умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir).
  • Знание SQL (PostgreSQL).
  • Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение.
  • Навыки работы с инструментами SAST, DAST, SCA/OSA, др.
  • Понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps.

Технологический стек:

  • Фреймворки: aiohttp, sqlalchemy, asyncpg, poetry, django, websockets, react, redux, socket.io, elixir, ecto, tensorflow;
  • СУБД: postgresql, mongodb;
  • Журналирование, мониторинг: graylog, prometheus, grafana, elasticsearch, fluent-bit;
  • Контейнеризация и доставка: docker, dockerize, docker-compose, kubernetes, gitlab-runner, ansible.

Будет преимуществом:

  • языки: python3, javascript, typescript, erlang;
  • образование (курсы) в области application security, ethical hacking, penetration testing;
  • опыт участия в Bug Bounty, CTF.

Свяжитесь с нами, чтобы откликнуться на вакансию