Инженер по безопасности приложений (AppSec)

Рабочие задачи:

• Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST)

• Проводить тонкую настройку инструментов и формировать пользовательские правила

• Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила

• Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний

• Формировать рекомендации по устранению недостатков и защите приложений

• Взаимодействовать с командами разработки по согласованию технического долга

Ваш опыт, навыки и личные качества:

• Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов
• Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии
• Понимание сетевой модели OSI, знание основных протоколов
• Понимание того как должна быть устроена безопасная разработка
• Знакомство с ГОСТ 56939
• Знание особенностей веб разработки и меры по обеспечению ее безопасности
• Знакомство с OWASP Top 10, ASVS, WSTG, MASTG
• Понимание способов популярных атак на веб-приложения
• Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0)
• Опыт разработки на языках программирования высокого уровня. Умение разбираться в чужом исходном коде
• Понимание того как устроена современная разработка
• Знакомство с системами контроля версий
• Умение работать с Git
• Понимание того как происходит сборка приложений
• Знакомство с популярными сборщиками Gradle, Maven
• Опыт работы с инструментами статического анализа кода (SAST)
• Опыт работы с инструментами анализа открытого ПО (OSA/SCA). Понимание SBOM
• Опыт работы с инструментами динамического анализа веб приложений (DAST)
• Умение проходить лабораторные работы на Portswigger
• Понимание основных принципов обеспечения безопасности REST API
• Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность
• Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based)
• Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости
• Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения

Мы предлагаем:

• Гибридный или удаленный формат работы
• Возможность полностью удаленной работы только на территории РФ
• График работы пн-пт 10:00 – 18:30 по МСК
• Шаговая доступность от ст. м. Мякинино, транспортная доступность от ст. м. Строгино, м. Щукинская, м. Тушинская, станция Трикотажная
• Работа в аккредитованной ИТ компании
• Трудоустройство в штат по ТК РФ
• Комфортная атмосфера: культура поддержки и внутренние конкурсы
• Корпоративная программа лояльности, скидки на товары и услуги партнёров