Задачи:
· Проведение аудита безопасности приложений;
· Ручной поиск уязвимостей;
· Проведение сode review на предмет уязвимостей;
· Анализ приложений в динамике (DAST, ручное тестирование);
· Проведение внутренних пентестов приложений;
· Выполнение триажа результатов SAST/DAST/SCA и других инструментов безопасности;
· Сопровождение найденных уязвимостей до устранения;
· Взаимодействие с командами разработки;
· Проведение архитектурных ревью и формирование требований безопасности.
Мы ожидаем:
· Безопасность приложений:
- OWASP Top 10;
- Понимание Secure SDLC;
- Понимание принципов Secure by Design;
- Знание основных типов уязвимостей и способов их эксплуатации.
· Практические навыки:
- Навык проведения аудитов безопасности приложений;
- Навык ручного анализа исходного кода на наличие уязвимостей;
- Опыт проведения внутренних пентестов веб-приложений;
- Умение выполнять анализ приложений в динамике;
- Опыт работы с Burp Suite и аналогичными инструментами;
- Навык выполнения триажа результатов сканирования;
- Опыт работы с SAST, DAST, SCA, Secret Scanning решениями;
- Навык формирования рекомендаций по устранению уязвимостей.
· Архитектура и процессы:
- Опыт проведения архитектурных ревью;
- Навык анализа моделей угроз;
- Понимание процессов разработки ПО;
- Взаимодействие с командами разработки;
- Умение подготавливать security requirements и security notes;
- Понимание интеграции инструментов безопасности в SDLC и CI/CD.
Будет плюсом:
· Опыт работы Security Champion/Security BP;
· Опыт построения процессов Application Security;
· Опыт формирования исключений (False Positive Management);
· Опыт централизации и корреляции результатов нескольких SAST/DAST инструментов;
· Наличие профильных сертификатов AppSec.
Мы предлагаем:
· Оформление официальное по ТК РФ/ИП/Самозанятый;
· Конкурентная «белая» заработная плата (обсуждается по итогам интервью);
· Формат работы: удаленно;
· Предоставление ДМС;
· Фитнес;
· Курсы повышения квалификации на ежегодной основе (по согласованию);
· Самые инновационные, амбициозные проекты и задачи;
· Корп.мероприятия (настолки, боулинг, квесты и т.д.), подарки на НГ детям сотрудников Компании и другие мероприятия для поддержания хорошего настроения;
· Возможность публиковать свои проф. статьи на Хабр в нашем блоге с сохранением своего авторства – как повышение своего уровня экспертности в проф.среде;
· Возможность профессионального и карьерного роста.