Application Security Engineer / AppSec Engineer
Ищем опытного специалиста по безопасности приложений (AppSec) для обеспечения безопасности на всех этапах разработки. Требуется опыт от 3 лет в AppSec и/или Vulnerability Management, знание OWASP Top 10, инструментов SAST/DAST/SCA, интеграции в CI/CD. Предлагаем обучение английскому и казахскому языкам, компенсацию фитнеса и медицины, корпоративные мероприятия.
Зарплата не указана — оценили по рынку
На основе 6 похожих вакансий за 90 дней.
Что предстоит делать
- Обеспечение безопасности приложений и сервисов на всех этапах жизненного цикла разработки.
- Реализация процессов Application Security: анализ SAST, DAST, SCA, контейнерных и dependency-сканов.
- Интеграция проверок безопасности в CI/CD пайплайны.
- Формирование и поддержка SBOM, анализ зависимостей и связанных уязвимостей.
- Проверка сторонних библиотек, зависимостей и Docker-образов на предмет рисков.
- Проведение threat modeling и участие в проектировании безопасной архитектуры.
- Участие в полном процессе Vulnerability Management: обнаружение, triage, оценка риска, приоритизация и контроль устранения уязвимостей.
- Проведение инфраструктурных сканирований (Rapid7, OpenVAS или аналогичные решения).
- Анализ CVE, оценка критичности по CVSS и подготовка рекомендаций по устранению.
- Взаимодействие с Dev, DevOps и инфраструктурными командами по вопросам remediation.
- Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей.
- Подготовка документации, отчётов, методологий и рекомендаций по безопасности.
Что ждём от вас
- Высшее образование в области информационных технологий или информационной безопасности.
- Опыт работы в AppSec и/или Vulnerability Management не менее 3 лет.
- Отличное понимание OWASP Top 10, OWASP ASVS, CWE и механизмов эксплуатации веб-уязвимостей.
- Понимание принципов реализации атак: XSS, SQLi, SSRF, IDOR, XXE, Path Traversal, RCE и других распространённых векторов.
- Практический опыт работы с инструментами AppSec: Semgrep CE, Bandit, Gitleaks, Trivy, Syft/Grype, OWASP ZAP, Nuclei.
- Опыт интеграции SAST/SCA/DAST в CI/CD (GitLab CI, GitHub Actions, Jenkins).
- Опыт работы с инфраструктурными сканерами уязвимостей (Rapid7, OpenVAS).
- Умение проводить triage уязвимостей, определять приоритеты и оценивать риски.
- Знание CVE, CVSS, MITRE ATT&CK и умение применять их при анализе угроз.
- Опыт формирования и использования SBOM (CycloneDX, SPDX).
- Опыт анализа результатов SAST/DAST/SCA и инфраструктурных отчётов.
- Навыки проведения threat modeling и анализа архитектуры приложений.
- Дополнительные требования
- Понимание сетевого стека: TCP/IP, HTTP/HTTPS, DNS, DHCP, TLS, основы маршрутизации.
- Знание принципов сетевой безопасности: ACL, NAT, VPN, firewalls, proxy, IDS/IPS.
- Опыт работы с Docker и понимание основ Kubernetes и угроз контейнерной безопасности.
- Базовые навыки чтения и понимания кода (желательно Python, Java, JavaScript/TypeScript).
- Понимание принципов работы API: REST, JSON, JWT, OAuth2.
- Понимание подходов Secure SDLC
- Умение работать с Git, pull requests, пайплайнами и артефактами сборки.
- Приветствуются сертификаты: Security+, CEH, OSCP, OSWE, GWAPT, CSSLP.
- Уверенное чтение технической документации на английском языке.
Что предлагаем
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Ещё в Kompra Group
6 активных вакансий в компании
Detection Engineer / Security Monitoring Specialist
~400 000 – 500 000 ₸ оценка
Ищем опытного Detection Engineer для развития и сопровождения процессов Security Monitoring, Detection Engineering и Threat Hunting. Вы будете разрабатывать правила детектирования, анализировать телеметрию и расследовать инциденты. Требуется глубокое понимание MITRE ATT&CK и опыт работы с SIEM, EDR/XDR. Предлагаем работу в стабильной компании с профессиональным ростом.
QA Automation Engineer
~375 000 – 750 000 ₸ оценка
Ищем опытного QA Automation Engineer для автоматизации тестирования API и UI в продуктовой IT-компании. Требуется от 4 лет в QA и от 2 лет в автоматизации, знание Python, Java, JavaScript, C# или Kotlin, опыт с Playwright, Selenium, Cypress и CI/CD. Предлагаем офисную работу с 10 до 19, бесплатное изучение английского и казахского, компенсацию фитнеса и медицины, завтраки и тимбилдинги.
Тестировщик (QA)
~375 000 – 750 000 ₸ оценка
Ищем опытного тестировщика для ручного тестирования веб-приложений в IT-холдинге Kazdream. Нужно уметь работать с REST API, SQL и DevTools, а также оформлять документацию. Предлагаем гибридный график, обучение языкам и корпоративные бонусы.
QA Engineer
~375 000 – 750 000 ₸ оценка
Ищем QA-инженера с опытом от 1 до 3 лет для ручного тестирования веб-продукта, включая функциональное, регрессионное и интеграционное тестирование. Требуется умение составлять чек-листы и тест-кейсы, работать с баг-трекинг системами. Приветствуется базовый опыт автоматизации (Selenium/Playwright) и знание API. Предлагаем официальное трудоустройство в офисе в Астане, компенсацию фитнеса и медицины, бесплатное изучение английского и казахского языков.
Похожие вакансии
6 вакансийРазработчик .NET / DevSecOps Инженер (Linux)
~400 000 – 500 000 ₸ оценка
Разработка и поддержка высоконагруженной системы онлайн-тестирования на .NET (C#) с интеграцией DevOps и кибербезопасности. Требуется опыт от 3 лет, глубокие знания Linux, Docker, Kubernetes, CI/CD и администрирования баз данных. Предлагается стабильная зарплата, официальное трудоустройство и работа в офисе в Астане.
Специалист по информационной безопасности (AntiDDoS, NGFW, XDR)
~400 000 – 500 000 ₸ оценка
Freedom Telecom ищет опытного специалиста по информационной безопасности для работы с AntiDDoS, NGFW, XDR и управления уязвимостями. Требуется не менее 5 лет опыта в ИБ, знание Linux и скриптовых языков. Компания предлагает стабильный график и бонусы экосистемы Freedom.
Специалист по информационной безопасности (SOC)
Ищем опытного специалиста по информационной безопасности для управления процессами мониторинга и реагирования на инциденты в SOC. Требуется знание SIEM-систем, стандартов ИБ и НПА РК, а также лидерские качества. Предлагаем стабильную работу в офисе с полным соцпакетом и бонусами.
Ведущий инженер по комплаенсу безопасности
~400 000 – 500 000 ₸ оценка
Компания EPAM ищет ведущего инженера по комплаенсу безопасности для удаленной работы в Казахстане. Вы будете управлять системой информационной безопасности, проводить аудиты и помогать проектам внедрять требования клиентов. Требуется опыт с ISO 27001, PCI DSS и другими стандартами, а также английский B2. Предлагают гибкий график, обучение и соцпакет.
Специалист по антифроду
~400 000 – 500 000 ₸ оценка
Ищем опытного специалиста по антифроду для работы в финтех-компании. Нужно расследовать мошеннические транзакции, анализировать риски и взаимодействовать с платёжными системами. Предлагают официальное трудоустройство и комфортный офис в центре города.
Специалист по информационной безопасности
Ищем специалиста по информационной безопасности с опытом от 3 лет. Нужно будет заниматься документацией, администрированием DLP и Active Directory, мониторингом инцидентов и уязвимостей. Предлагаем работу в офисе, полный день.