MAX

AppSec-инженер

Информационная безопасностьгибкийМосква

Навыки

information security

Обязанности

  • 01Внедрение и развитие процессов Security SDLC: интеграция проверок безопасности на всех этапах разработки от проектирования (Security Champions, threat modeling) до запуска в продакшен
  • 02Пентест и исследования: проведение ручного тестирования безопасности веб-приложений, мобильных приложений и API; участие в программах Bug Bounty
  • 03Работа со статическим и динамическим анализом кода (SAST/DAST): использование автоматизированных инструментов сканирования, триаж и написание рекомендаций по устранению
  • 04Код-ревью: проведение экспертного анализа исходного кода на предмет уязвимостей (OWASP Top 10, CWE)
  • 05Консультирование команд: тесная работа с разработчиками, архитекторами и DevOps-инженерами. Объяснение уязвимостей, помощь в поиске лучших способов их устранения, проведение воркшопов
  • 06Управление уязвимостями: классификация, приоритизация и контроль устранения найденных уязвимостей
  • 07Разработка безопасных стандартов: создание и внедрение чек-листов, гайдов и лучших практик (secure coding guidelines) для разработчиков

Требования

  • 01Опыт работы на позиции AppSec Engineer или пентестера веб-приложений от двух лет
  • 02Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей
  • 03Опыт работы с одним или несколькими инструментами SAST, DAST, SCA (Burp Suite, OWASP ZAP и т. д.)
  • 04Умение читать и понимать код на одном из языков программирования, например на Python, Go, Java, Java Script
  • 05Знание основных протоколов и технологий: HTTP/HTTPS, SSL/TLS, REST API, JSON Web Tokens (JWT)
  • 06Понимание принципов работы современных CI/CD-систем (GitLab CI, GitHub Actions, Jenkins)
  • 07Умение понятно объяснять сложные концепции безопасности разработчикам
  • 08Стремление автоматизировать рутину и постоянно учиться новому

Условия

  • 01Гибкий график работы
  • 02Бонусы и скидки от партнеров
  • 03Офис в центре города
  • 04ДМС
  • 05Профессиональная команда
  • 06Формат работы Офисный Дистанционный Комбинированный
  • 07Уровень senior
  • 08График работы полный