Application Security Engineer

Что предстоит делать

• Анализ безопасности приложений и архитектуры программных продуктов компании
• Проведение моделирования угроз на уровне продукта и ключевых компонентов
• Проведение ручного и автоматизированного анализа кода (SAST, DAST, SCA)
• Проведение security code review и консультации команд разработки
• Формирование требований к безопасности приложений и архитектурных security-паттернов
• Участие в архитектурных ревью продуктовых решений
• Разработка стандартов безопасного кодирования и рекомендаций по безопасной архитектуре
• Что мы ожидаем:
• Принципы Secure SDLC и OWASP Top 10 / OWASP ASVS
• Методологии моделирования угроз
• Принципы безопасной архитектуры enterprise-приложений
• Типовые уязвимости приложений (SQLi, XSS, CSRF, SSRF, RCE, deserialization, logic flaws, memory corruption и др.) и методы их предотвращения
• Методы статического, динамического и компонентного анализа кода (SAST, DAST, SCA) и интерпретацию результатов сканирования
• Принципы аутентификации и авторизации (OAuth2, OpenID Connect, SAML, RBAC/ABAC), управление сессиями и идентификацией
• Основы криптографии и защиты данных: TLS, PKI, хэширование, шифрование, управление ключами, secure storage
• Принципы безопасного программирования на C/C++ (memory safety, UB, secure coding standards)
• Опыт работы со статическими анализаторами C/C++ (Coverity, PVS-Studio, Clang Static Analyzer и др.)

Что предлагаем