Описание вакансии
Мы ищем опытного Senior AppSec Engineer, который возьмёт на себя ответственность за безопасность наших приложений и архитектур. Вы станете ключевым звеном в интеграции безопасной разработки (Secure SDLC) в наш процесс, будете работать бок о бок с разработчиками, DevOps и архитекторами, обеспечивая защиту на всех этапах - от проектирования до эксплуатации.
Чем предстоит заниматься:
• Разработка и внедрение стратегии безопасности приложений (AppSec) в рамках производственного подразделения компании;
• Проведение анализа угроз (threat modeling) на этапе проектирования архитектуры;
• Выявление, анализ и приоритизация уязвимостей в ПО;
• Проведение ручного и автоматизированного тестирования на проникновение (penetration testing), включая SAST, DAST, SCA и IAST;
• Интеграция инструментов безопасности в CI/CD-пайплайны (GitLab CI, Jenkins);
• Обучение и консультирование команд разработчиков по вопросам безопасного кодирования;
• Разработка и поддержка security guidelines, secure coding standards и security checklists;
• Участие в расследовании инцидентов информационной безопасности, связанных с приложениями;
• Взаимодействие с группой сертификации по подготовке необходимой документации для получения сертификатов на ПО;
• Мониторинг и реагирование на уязвимости в сторонних компонентах и зависимостях (SBOM, управление уязвимостями);
• Точка контакта с регуляторами по вопросам практической безопасности;
• Синхронизация требования ФСТЭК и лаборатории с реальными Dev-процессами;
• Помощь командам проходить сертификационные проверки без боли.
Что нам важно:
• Опыт работы в информационной безопасности, сфокусированный на безопасности приложений от 5 лет;
• Глубокое понимание OWASP Top 10, CWE/SANS Top 25, NIST SP 800-53 и других стандартов безопасности;
• Знание нормативно-правовой базы в области ИБ РФ;
• Опыт работы с лабораториями сертификации и ФСТЭК;
• Опыт настройки и эксплуатации инструментов:
o SAST: SonarQube и др.
o DAST: OWASP ZAP, Acunetix.
o SCA: Snyk, Dependency-Check.
o IaC Security: Terrascan.
• Умение читать и анализировать код на языках: Java, Python, JavaScript/TypeScript, Scala (минимум 2 из перечисленных);
• Опыт внедрения безопасного SDLC и DevSecOps практик;
• Знание протоколов аутентификации и авторизации (OAuth2, OpenID Connect, SAML);
• Понимание принципов криптографии и её применения в приложениях;
• Английский язык - Upper-Intermediate и выше (чтение документации, участие в международных совещаниях);
• Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике.
Будет плюсом:
• Опыт работы с AI инструментами;
• Сертификации: OSCP, OSWE, CISSP, CISA, GWAPT, CSSLP;
• Опыт в red team / purple team;
• Участие в bug bounty программах;
• Опыт работы в регулируемых отраслях (ИБ, финансы, медицина, e-commerce);
• Знание DevOps-инструментов: Terraform, Ansible, ArgoCD.
Чем предстоит заниматься:
• Разработка и внедрение стратегии безопасности приложений (AppSec) в рамках производственного подразделения компании;
• Проведение анализа угроз (threat modeling) на этапе проектирования архитектуры;
• Выявление, анализ и приоритизация уязвимостей в ПО;
• Проведение ручного и автоматизированного тестирования на проникновение (penetration testing), включая SAST, DAST, SCA и IAST;
• Интеграция инструментов безопасности в CI/CD-пайплайны (GitLab CI, Jenkins);
• Обучение и консультирование команд разработчиков по вопросам безопасного кодирования;
• Разработка и поддержка security guidelines, secure coding standards и security checklists;
• Участие в расследовании инцидентов информационной безопасности, связанных с приложениями;
• Взаимодействие с группой сертификации по подготовке необходимой документации для получения сертификатов на ПО;
• Мониторинг и реагирование на уязвимости в сторонних компонентах и зависимостях (SBOM, управление уязвимостями);
• Точка контакта с регуляторами по вопросам практической безопасности;
• Синхронизация требования ФСТЭК и лаборатории с реальными Dev-процессами;
• Помощь командам проходить сертификационные проверки без боли.
Что нам важно:
• Опыт работы в информационной безопасности, сфокусированный на безопасности приложений от 5 лет;
• Глубокое понимание OWASP Top 10, CWE/SANS Top 25, NIST SP 800-53 и других стандартов безопасности;
• Знание нормативно-правовой базы в области ИБ РФ;
• Опыт работы с лабораториями сертификации и ФСТЭК;
• Опыт настройки и эксплуатации инструментов:
o SAST: SonarQube и др.
o DAST: OWASP ZAP, Acunetix.
o SCA: Snyk, Dependency-Check.
o IaC Security: Terrascan.
• Умение читать и анализировать код на языках: Java, Python, JavaScript/TypeScript, Scala (минимум 2 из перечисленных);
• Опыт внедрения безопасного SDLC и DevSecOps практик;
• Знание протоколов аутентификации и авторизации (OAuth2, OpenID Connect, SAML);
• Понимание принципов криптографии и её применения в приложениях;
• Английский язык - Upper-Intermediate и выше (чтение документации, участие в международных совещаниях);
• Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике.
Будет плюсом:
• Опыт работы с AI инструментами;
• Сертификации: OSCP, OSWE, CISSP, CISA, GWAPT, CSSLP;
• Опыт в red team / purple team;
• Участие в bug bounty программах;
• Опыт работы в регулируемых отраслях (ИБ, финансы, медицина, e-commerce);
• Знание DevOps-инструментов: Terraform, Ansible, ArgoCD.
ID: 826
Отправить резюме
Мы предлагаем будущим сотрудникам
-
Социальную
поддержку
- Отсрочка от армии, бронирование в случае мобилизации
- Материальная помощь в случае важных событий сотрудника
- Доплата отпускных, больничных и командировочных до 100% оклада + 10 оплачиваемых дейофф в году
- ДМС со стоматологией
- Скидки от компаний-партнеров: спорт, английский, психолог, интернет и многое другое
-
Комфортные
условия работы
- Конкурентный оклад, премии по результатам работы
- Перспективы для профессионального и карьерного продвижения
- Офис, в котором приятно работать
- Возможность работать над передовыми продуктами в сфере кибербезопасности
- Сильная команда экспертов, которые всегда готовы помочь и поделиться знаниями
-
Интересные
мероприятия
- Регулярные открытые диалоги с руководством о важных новостях и событиях
- Экспертные конференции, где каждый может поделиться кейсом
- Совместные путешествия с коллегами по России
- Спортивные активности онлайн и офлайн (онлайн-марафоны, бег, йога, волейбол, лыжи, и др.)
- Вместе отмечаем важные события и праздники
Галерея Solar
