Application Security Analyst

О компании

Мы — продуктовая международная финтех-компания, создающая B2C и B2B SaaS трейдинговую платформу для клиентов по всему миру.

Сейчас мы в поисках Специалиста по безопасности приложений (Application Security Analyst), который поможет усилить защиту цифровых продуктов Quadcode.

В этой роли ты будешь работать с командами разработки над обеспечением безопасности на ранних стадиях SDLC, используя shift-left подход. Главная задача — помогать командам выявлять и устранять уязвимости ещё до релиза, а также внедрять лучшие практики безопасной разработки.

Ты будешь работать с приложениями, написанными на Go, C++, TypeScript и JavaScript, обеспечивая их защиту от потенциальных угроз и инцидентов.

В команде — 7 специалистов: 3 ИБ инженера, 2 SOC-аналитика, AppSec аналитик/Пентестер и тимлид.

Мы работаем по Scrum в часовом поясе GMT+3. Для коммуникации используем Google Meet, Slack, TargetProcess.

Если ты разбираешься в современных практиках безопасности, уверенно оцениваешь риски и любишь работать в команде — скорее откликайся!

Чем ты будешь заниматься

• Работать с командами разработки с подходом shift-left и внедрять безопасные практики в SDLC.

• Проводить ревью безопасности на этапе проектирования и перед релизом как новых, так и существующих сервисов.

• Интегрировать и поддерживать инструменты и процессы безопасности (SAST, SCA, Secret Scanning) в пайплайнах разработки.

• Проектировать и поддерживать архитектурную модель обеспечения безопасности.

• Определять и поддерживать требования информационной безопасности для разрабатываемых продуктов.

• Проводить пентесты, моделируя реальные атаки.

• Управлять программой Bug Bounty: обрабатывать отчёты от исследователей и следить за устранением уязвимостей.

• Проводить обучающие сессии для разработчиков о типичных уязвимостях и их предотвращении.

• Обеспечивать бесперебойную работу AppSec-инструментов и вести R&D по улучшению методов защиты на всех этапах жизненного цикла разработки.

• Проводить оценку рисков и моделирование угроз (Security Risk Assessment, Threat Modelling).

Что мы ожидаем от тебя

• 3+ лет опыта в роли специалиста по безопасности приложений (Application Security).

• 3+ лет опыта в области методологий разработки ПО и применения безопасных практик программирования.

• Хорошее знание типичных уязвимостей приложений, векторов атак и способов защиты.

• 2+ года опыта работы с инструментами безопасности: SAST, SCA, DAST, пентест-инструментами.

• Опыт разработки на одном из языков программирования (идеально Python или Go) — от 2 лет.

• Уверенные коммуникативные навыки и навыки решения проблем, умение работать в команде.

• Английский язык не ниже B1.

• Русский язык — свободный (от C1).

Будет плюсом

• Сертификации OSCP, OSWE, CCSP или по облачной безопасности.

• Опыт работы с PCI-DSS, GDPR.

• Участие в Bug Bounty программах.

• Опыт участия в CTF.

• Знание OWASP Testing Guide, Code Review Guide и Secure Coding Practices.

• Опыт работы со сканерами уязвимостей (Nessus, XSpider, MaxPatrol и т.п.).

Мы предлагаем

• Гибридный формат работы в нашем СПб офисе (3 раза в неделю).

• Трудовой договор или ИП/ГПХ контракт.

• Гибкий график работы.

• Завтраки и обеды в офисе или ежемесячная компенсация расходов на питание.

• Подарки на дни рождения и выплаты на специальные события (например, рождение ребенка).

• ДМС со стоматологией;

• Доступ к услугам психолога;

• Дополнительные дни к отпуску за стаж работы;
• Фишкашоп - возможность приобретать товары и мерч за внутреннюю валюту компании;
• Тимбилдинги и корпоративные мероприятия.

• Возможности обучения и развития.

• Профессиональная, дружная и позитивная команда.