Application Security инженер

​Чем предстоит заниматься:

• Проведение проверок на наличие уязвимостей кода и окружения (SAST, DAST, SCA, OSA)

• Проведение аудитов/оценки соответствия безопасности сервисов

• Проведение инструментальных и ручных проверок выполнеиния требований безопасности, выставленных к системам/продуктам

• Проверка ПО (внешнего) на ошибки, закладки, известные уязвимости патчей/релизов/платформ/сервисов

• Проведение проверок системного ПО (ОС Win/*nix, OpenSSL, OpenSSh и т.п.), прикладного ПО (БД Postgresql/mysql/oracle, web-сервера nginx/apache/tomcat, ELK и т.п.), критических обновлений безопасности

• Консультирование разработчиков по устранению уязвимостей, контроль устранения выявленных уязвимостей

• Анализ интеграций api на соответствие политикам безопасности

• Автоматизация проверок выполняемых для анализа ПО

• Анализ безопасности контейнерных решений

• Участие в разработке и обновлении политик безопасности и процедур

• Работа с инцидентами безопасности, включая их расследование и устранение

• Мониторинг и анализ трендов в области информационной безопасности, включая новые угрозы и уязвимости

Что нужно для этой работы:

• Понимание принципов построения сетей, ИТ-инфраструктуры и архитектуры мобильных/веб-приложений

• Понимание принципов CI/CD, контейнеризации и оркестрации (Docker, Kubernetes, Gitlab и пр.)

• Понимание принципов работы систем аутентификации и авторизации (OAuth 2.0, SAML, 2FA)

• Понимание принципов атак на информационные системы с использованием уязвимостей из OWASP-top 10 и прочих OWASP (mobile, web, API, etc.)

• Знание наиболее распространённых клиентских и серверных уязвимостей (XSS, CSRF, CSTI, clickjacking , CRLF injection, Open redirect, RCE, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, SSRF)

• Опыт работы с некоторыми инструментами из списка: Burp Suite, Netsparker, Acunetix, Checkmarx, SonarQube, CodeQL, Semgrep, owasp ZAP, deepscan, dependencytrack, chrome debugger, Snyk, IDA Pro, WireShark, AppScreener,Dbg64,DotPeek

• Умение читать код и выявлять ошибки

• Экспертиза уязвимостей, обнаруженных с использованием инструментов SAST, DAST, SCA, OSA

• Знания технологий защиты каналов связи и интернет приложений (антиDDoS)

• Опыт работы с системами анализа и очистки трафика

• Опыт администрирования веб-серверов

• Знания основ программирования на языке Python

• Базовые знания Nginx, Docker

• Технический английский (чтение документации, деловая переписка)

​​​​Что предлагаем:

• Работу в современной надёжной цифровой компании

• Достойную заработную плату

• Agile-культуру: продуктовые команды, Scrum и Kanban, демо-дни, внутренние митапы и таунхоллы

• Доступ к корпоративной библиотеке Alpina, корпоративному университету МТС и программам развития

• Отсутствие дресс-кода, гибкий формат работы

• Комфортный и стильный офис в двух минутах от м. Технопарк

• Корпоративное кафе «Мечта» и отличный кофе на первом этаже БЦ

• Специальный тариф на мобильную связь для тебя и близких

• Предложения от партнёров банка и МТС

• Заботу о тебе и твоей семье: ДМС со стоматологией, сессиями с психологом и госпитализацией. К ДМС можно подключить детей и родственников. А ещё доступ к телемедицине BestDoctor

• Поддержку сотрудников: программа материальной помощи в различных жизненных ситуациях