Application Security инженер (AppSec)

Мы занимаемся техническими аспектами ИБ одного из крупнейших ритейлеров в РФ. Защищаем как внешний периметр, так и внутренние ИС, используя самые современные средства и методики защиты информации.

Мы открываем позицию Application Security инженера для работы над корпоративным мессенджером и приложением для видеоконференций Конутр.Толк. В этой роли ты станешь неотъемлемой частью команды профессионалов, посвятивших себя обеспечению безопасности и устойчивости наших цифровых сервисов.

Наша задача обеспечить полную безопасность во всех имеющихся информационных систем. Сотрудники подразделения обладают высокой квалификацией и постоянно повышают уровень своих навыков, а также принимают участие в конференциях по безопасности (PHdays, OffZone, ZeroNights).

Стек технологий: Web, Mobile, Desktop, ASOC, SAST, SCA, MAST, DAST, Secret Management

чем ты будешь заниматься

• Работать в команде разработки корпоративного мессенджера, участвовать в процессе разработки от архитектурного ревью до релиза
• Проводить ручные и автоматизированные проверки десктоп, веб и мобильных приложений, анализировать найденные уязвимости и оценивать их бизнес-риски
• Моделировать угрозы и разрабатывать безопасную архитектуру приложений
• Ставить задачи на исправление уязвимостей и контролировать их устранения
• Идентифицировать слабые места и уязвимости в архитектуре, инфраструктуре и ПО внедряемых сервисов, формировать требования по защите и контролировать их реализацию
• Участвовать во внедрении средств защиты информации и автоматизации процессов разработки
• Выстраивать культуру безопасной разработки в команде и регламентировать процессы по ней

мы ожидаем

• Опыт от 3 лет в Application Security/безопасной разработке
• Умение работать с инструментами ASOC, SAST, DAST, MAST, SCA, Secret Management, Container Security Platform и т.п.
• Практический опыт проведения анализа защищенности приложений, умение эксплуатировать найденные уязвимости (PoC)
• Понимание работы современных приложений, типов архитектур, методов аутентификации и пр.
• Знание OWASP Top 10, ASVS, MASVS и т.п. (это базовые фреймворки для апсеков)
• Знание сетевых протоколах и способах атак на них
• Понимание процессов CI\CD, DevSecOps, AppSec
• Умение разговаривать с разработчиками «на одном языке» и желание влиять на качество продукта

будет плюсом

• Опыт пентестов и участие в Bug Bounty
• Опыт участия в разработке мессенджеров
• Опыт разработки на Go/Python
• Опыт обеспечения защиты мобильных и десктоп приложений