Работодатель:
Опыт работы:
От 3 до 6 лет
Место работы:
Москва, Лесная улица, 9

Мы ищем AppSec - инженера в команду.

Вы будете работать с командами разработки, архитекторами и DevOps, чтобы встраивать практики безопасности на всех этапах жизненного цикла ПО, развивать культуру Security-by-Design и защищать высоконагруженные веб-сервисы и API.

Что предстоит делать:

- Внедрять и развивать практику Secure SDLC на всех этапах - от дизайна до эксплуатации;

- Настраивать инструменты SAST / DAST / SCA и интегрировать их в CI/CD-пайплайны (у нас есть коммерческая платформа ASOC — не придется страдать с «Доджой» ;));

- Участвовать в ревизии архитектуры новых и существующих сервисов с точки зрения безопасности (security-by-design);

- Писать конкретные требования безопасности для сервисов и проверять их выполнение;

- Проводить анализ найденных уязвимостей, расставлять приоритеты и контролировать их закрытие разработкой;

- Ставить задачи командам разработки и сопровождать процесс исправления уязвимостей до конца;

- Проводить threat modeling (моделирование угроз) для критичных сервисов и учить разработчиков делать это самостоятельно;

- Создавать регламенты, чек-листы и инструкции по безопасной разработке и устранению уязвимостей;

- Обучать разработчиков: делать код-ревью с фокусом на безопасность, консультировать по уязвимостям и лучшим практикам;

- Активно взаимодействовать с DevOps по вопросам интеграции security-сканов в CI/CD и настройке защитных мер на инфраструктурном уровне.

Что для этого нужно:

- Опыт в Application Security / безопасной разработке от 3 лет;

- Глубокое знание Secure SDLC и OWASP Top 10 (включая понимание реальных векторов атак на веб-приложения и API);

- Практический опыт настройки и использования SAST / DAST / SCA-инструментов;

- Понимание CI/CD процессов, архитектуры веб-приложений, REST API и микросервисов;

- Опыт проведения анализа кода на безопасность и threat modeling;

- Отличные коммуникативные навыки — придется много и понятно объяснять разработчикам и девопсам, почему важно закрыть уязвимость прямо сейчас;

- Понимание угроз, связанных с использованием ИИ в разработке и продуктах — будет большим плюсом.

Мы предлагаем:

- Возможность влиять на культуру разработки и делать продукт действительно безопасным - мы всегда открыты к новым идеям и инициативам;

- Гибридный формат работы - офис в шаговой доступности от м.Белорусская;

- Дружелюбную атмосферу и открытость к новым знаниям: общаемся на «ты», проводим внутренние митапы, выступаем на конференциях и делимся опытом;

- Возможность стать амбассадором ИТ-бренда — у нас есть DevRel;

- Сильную и вовлеченную команду с высоким eNPS, регулярными тимбилдингами и неформальными встречами;

- Performance Review два раза в год с возможностью получить премию до двух окладов и прозрачной системой грейдов;

- Расширенный ДМС со стоматологией, а также возможность подключить членов семьи со скидкой;

- Комфортное рабочее место: предоставляем технику или компенсируем работу на собственной.

Похожие вакансии

AppSec-инженер
Бьюти-ретейлер Золотое Яблоко

Коммерческий опыт работы в AppSec / анализе защищённости от 2 лет. Глубокие знания web-технологий, понимание архитектуры микросервисных приложений.

DevSecOps/AppSec - инженер
ЕДИНЫЙ ЦУПИС

Опыт внедрения инструментов безопасной разработки в CI/CD. Понимание рисков ИБ систем контейнеризации и Kubernetes. Умение обеспечить безопасность CI\CD...

AppSec-инженер
БЮРО 1440

Опыт работы 1-3 года на аналогичной должности. Умение обнаруживать уязвимости в приложениях (Owasp Top 10, CWE Top 25).

AppSec-инженер в VK ID
VK

Опыт работы в Application Security — от двух лет. Опыт поиска логических уязвимостей в веб-приложениях и сервисах. Понимание протоколов аутентификации...

AppSec-инженер в MAX
VK

Опыт работы на позиции AppSec Engineer или пентестера веб-приложений от двух лет. Глубокое понимание OWASP Top 10, CWE Top...