Специалист по информационной безопасности/AppSec

Работа в Т1 сочетает в себе преимущества инновационной ИТ-компании и крупного холдинга — стабильность и финансовую надежность, социальные гарантии и возможность развиваться в открытом ИТ-сообществе, масштабные задачи и гибридный формат работы

Большим идеям нужна большая командаВ рамках направления мультипродуктовой разработки мы развиваем собственные программные продукты и формируем внешнюю партнерскую сеть для дистрибуции и интеграции решений, востребованных в

Условия:

х технологического суверенитета

ПО ориентировано 
на корпоративный сегмент — государственные организации и крупнейший частный бизнес


В данное направление также входит аналитическое агентство, специализирующееся 
на исследованиях в области ИТ

Чем предстоит заниматься:Участие в процессе безопасной разработки:Формирование требований ИБ к продуктам

Формирование требований по обеспечению защищенности разрабатываемого приложения

Оценка рисков безопасности приложения

Инициирование инструментальных проверок разрабатываемого продукта

Ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки

Триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки

Углубленный анализ уязвимостей в разрабатываемого ПО

Контроль поставки на исправление подтвержденных уязвимостей

Формирование предложения по компенсирующим мерам и их оценке

Внедрение AppSec-практик в команды разработки

Поддержка и конфигурация внедренных средств анализа защищенности (обновление базы решающих правил, отключение FP правил, написание новых правил)

Необходимые знания и навыки:Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности

Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (fuzzing/SAST/DAST/SCA/CA)

Умение работать с Checkmarx, PT AI, Svace, Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy, Gitleaks, TruffleHog и т

п

)

Анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA)

Опыт работы со SBOM файлами и файлами манифестов (типа package

json, poetry

lock, Dockerfile и т

п

)

Опыт работы с инструментами контейнеризации и их настройки

Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т

п

Знание скриптовых языков программирования (Bash / Powershell / Python)

Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей

Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них

Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т

п

)

Знания технологий виртуализации и контейнеризации

Глубокий уровень понимания ОС *nix

Знание английского на уровне чтения технической литературы, коммуникабельность, опыт выступление на вебинарах

Будет плюсом:Наличие профильных сертификатов (CEH, OSCP, OSWE и пр

)

Опыт участия в соревнованиях (CTF и пр

)

Опыт участия в bug bounty-программах

Наличие собственных разработок или участие в open-source проектах

Опыт участия в профильных конференциях в качестве докладчика

Наличие публикаций по компьютерной безопасности

Опыт работы с OpenShift/OKD/Rancher

Разработка PoC и эксплойтов

Опыт работы разработчиком ПО

Опыт написания правил для обнаружения уязвимостей и создания регулярных выражений для их поиска

R&D - работа по внедрению ИИ для автоматизации процессов тестирования безопасности приложений