Инженер AppSec

Привет!
Мы - eXpress, корпоративный мессенджер №1 в России (рейтинг CNews 2022, 2023).
Наш продукт внедряется в инфраструктуру заказчика (OnPremise) или создается в облаке (Saas)

Наша гордость - уникальный распределенный (федеративный) протокол онлайн-коммуникаций.
Наша миссия - поддерживать безопасную коммуникацию!

Сейчас ищем к нам будущего коллегу Инженера AppSec в направление анализа защищенности.

Основные задачи:

• Участие в модернизации SSDLC;
• Контроль на стадиях ЖЦ разработки ПО;
• Тестирование и проверка безопасности кода и ПО;
• Тесное сотрудничество с DevOps по вопросам безопасности;
• Работа с анализаторами кода SAST/DAST/SCA: разбор файндингов, разработка мер, модернизация процессов;
• Реагирование на сработки в Security Pipeline. Формирование рекомендаций по безопасности и оптимизация Security Pipeline.

Наши ожидания:

• Опыт работы AppSec/DevSecOps - от 2-х лет;
• Понимание архитектуры современных веб приложений на базе микросервисной архитектуры;
• Знание лучших практик в разработке безопасных приложений;
• Опыт и навыки поиска уязвимостей в режиме Black box и White box;
• Понимание техник эксплуатации уязвимостей (OWASP Top-10) и методов защиты приложения.
• Наш стек:
  SonarQube, Trivy, Bandit, CodeQL, PhpCS, GoSec, RetireJS, ESLint, Brakeman, SemGrep, CycloneDX, Zap, MobSF, Arachni, CheckMarx.

Будет плюсом:

• Понимание устройства современных веб/мобильных приложений и фреймворков для разработки мобильных приложений;
• Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK);
• Знание используемых в корпоративной (или промышленной) среде систем и технологий;
• Знание основных методологий и подходов анализа угроз.

Работа в eXpress - это:

• Погружение в мир масштабных проектов.
  У нас ты окажешься в эпицентре динамичных процессов, где каждый рабочий день становится новым вызовом для твоего роста.
• Развитие.
  Большая команда профессионалов, готовых делиться своими знаниями и страстью к технологиям. А также внутреннее наставничество, участие во внешних конференциях и оплата профильных курсов.
• Инженерная культура.
  Прозрачность код-ревью, оперативное внедрение новых фичей и совершенствование существующего кода через рефакторинг.
• Свобода.
  Офис, удалёнка или гибрид — решать тебе.
  Гибкий график - смотрим не на количество отработанных часов, а на результат проделанной работы.
  Отсутствие дресс-кода и бюрократии.
• Забота о здоровье.
  После испытательного срока - расширенное ДМС со стоматологией, телемедициной, психологом. А также скидки на иные виды страхования для близких.
• Комфорт.
  Современный офис в пешей доступности от м.Новослободская.
  Снэк-бар в офисе - чтобы мысли о голоде не мешали работать :)
  Онбординг для новичков и команда HR-ов, которые помогут и ответят на любой твой вопрос.