Ведущий инженер/AppSec

Обязанности:

• анализ ПО и исходного кода на наличие уязвимостей, в том числе с использованием специализированных инструментов (Positive Technologies Application Inspector (PTAI), MaxPatrol, AppScreener, CodeScoring, Dependency Track, RedCheck, Trivy, Grype; инструменты класса песочница и другие);
• анализ, валидация и верификация выявленных уязвимостей, выработка
  компенсационных мер;
• развертывание виртуальной инфраструктуры для анализа ПО и исходного кода: серверов, рабочих мест, СУБД, WEB-сервисов и др.;
• применение знаний об основных угрозах ИБ, методах и способах их устранения, в частности практическое применение этих знаний при настройке параметров ИБ операционных систем (Windows, Linux), сетевого оборудования, средств защиты информации;
• применение методологии и практик безопасной разработки, систем автоматизации и непрерывной поставки ПО;
• анализ и рассмотрение документации на предмет соответствия требованиям ИБ.

• высшее техническое образование;
• приветствуются сертификаты Cisco CCNA, CCNP или аналогичные;
• релевантный опыт работы от 2-х лет;
• знание в области анализа ПО и исходного кода на наличие уязвимостей;  знание процессов безопасной разработки (в том числе оркестрации и контейнеризации), тестирования и внедрения ПО (в том числе в рамках DevSecOps); 
• наличие базовых знаний в области сетевых технологий - VPN, NAT, VLAN, ACL, BGP, OSPF;
• опыт разворачивания и администрирования ОС семейства Windows и Linux, в том числе в части настроек и политик безопасности;
• опыт разворачивания и администрирования систем виртуализации (VMware, OpenStack); 
• наличие базовых знаний СУБД Oracle, SQL Server, PostgreSQL;
• опыт организации и защиты взаимодействия через API; 
• опыт работы с системами контроля версий;
• применение инструментов и методов композиционного (SCA), статического (SAST), динамического анализа (DAST) и фаззинг-тестирования;
• примененияе методологий и метрик MITRE/CVE/OWASP, а также других метрик в области безопасности ПО и кода, в частности используемые ФСТЭК;
• опыт работы с SIEM решений и DLP систем (Splunk; SmartMonitor; MaxPatrol и пр.);
• знание безопасных протоколов аутентификации, IAM систем и систем хранения секретов, обеспечения защищенного API при их использовании (Kerberos, технологии SSO, OAuth, OIDC, SAML; продукты Keycloack, HashiCorp и др).