AppSec-инженер

Задачи: Внедрять и развивать процессы Security SDLC: интегрировать проверки безопасности на всех этапах разработки от проектирования (Security Champions, Threat Modeling) до запуска в продакшен (Pentest, Bug Bounty) Работать со статическим и динамическим анализом кода (SAST/DAST): использовать автоматизированные инструменты сканирования, проводить триаж и формулировать рекомендации по устранению уязвимостей Проводить экспертные code review: анализировать исходный код на предмет уязвимостей (OWASP Top 10, CWE) Осуществлять пентест и исследования: проводить ручное тестирование безопасности веб-приложений, мобильных приложений и API Участвовать в программах Bug Bounty Консультировать команды: тесно работать с разработчиками, архитекторами и DevOps-инженерами, объяснять уязвимости, помогать в поиске лучших способов их устранения, проводить воркшопы Управлять уязвимостями: классифицировать, приоритизировать и контролировать устранение найденных уязвимостей Разрабатывать безопасные стандарты: создавать и внедрять чек-листы, гайды и лучшие практики (Secure Coding Guidelines) для разработчиков Требования: Опыт работы на позиции AppSec Engineer, Security Developer или пентестера веб-приложений от двух лет Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей Опыт работы с одним или несколькими инструментами SAST/DAST/SCA (Burp Suite, OWASP ZAP и так далее) Умение читать и понимать код на одном из языков программирования (например, Python, Go, Java, JavaScript) Знание основных протоколов и технологий: HTTP/HTTPS, SSL/TLS, REST API, JSON Web Tokens (JWT) Понимание принципов работы современных CI/CD-систем (GitLab CI, GitHub Actions, Jenkins) Способность понятно объяснять сложные концепции безопасности разработчикам Желание автоматизировать рутину и постоянно учиться новому Мы предлагаем: Гибкий график работы Бонусы и скидки от партнеров Офис в центре города ДМС Профессиональная команда Откликнуться Формат работы офисный комбинированный дистанционный Уровень middle senior График работы полный Будет плюсом: Опыт проведения Threat Modeling Навыки в области облачной безопасности Знание контейнеризации (Docker, Kubernetes) и принципов DevSecOps Наличие публичных работ (статьи, доклады, выводы CVE) или участие в Bug Bounty программах и конференциях Соответствующие сертификации (OSCP, OSWE, GWEB, CSSLP и другие)