AppSec / Application Security Engineer
Ищем опытного AppSec-инженера для построения и развития процессов безопасной разработки (SSDLC). Нужно внедрять security gates в CI/CD, проводить пентесты веб-сервисов и мобильных приложений, анализировать уязвимости и консультировать разработчиков. Требуется глубокое знание OWASP, опыт с SAST/DAST/SCA и понимание безопасности Kubernetes.
Зарплата не указана — оценили по рынку
На основе 582 похожих вакансий за 90 дней.
Что предстоит делать
- Безопасная разработка:
- Построение и развитие SSDLC: внедрение security gates в CI/CD pipeline, настройка и оптимизация SAST, DAST, SCA/OSA, снижение false positives до рабочего уровня
- Анализ результатов сканирований, триаж уязвимостей, формирование конкретных рекомендаций для разработчиков с описанием вектора атаки и предложениями по исправлению
- Приоритизация бэклога уязвимостей по реальному влиянию на бизнес, контроль SLA по устранению
- Разработка и актуализация стандартов и инструкций по безопасной разработке
- Анализ защищённости:
- Проведение пентестов веб-сервисов и мобильных приложений
- Threat modeling: анализ бизнес-требований и ТЗ по доработкам, выявление рисков на этапе проектирования
- Security code review критичных компонентов
- Взаимодействие и экспертиза:
- Консультирование команд разработки по вопросам безопасного кода и архитектуры
- Участие в разборе инцидентов безопасности, связанных с уязвимостями приложений
- Взаимодействие с DevOps и платформенной командой при внедрении security gates в pipeline
- Формирование отчётности по состоянию защищённости приложений для руководства
- НАШИ ПОЖЕЛАНИЯ К КАНДИДАТУ:
- Опыт в AppSec / практическом анализе защищённости от 3 лет
- Уверенная работа с инструментами SSDLC: SAST (PT AI, Semgrep), DAST (Burp Suite, OWASP ZAP), SCA/OSA (Dependency-Track, Grype). Плюсом будет умение тюнить правила и сработки разработчикам
- Глубокое знание OWASP Top 10, OWASP Mobile Top 10, CWE — умение объяснить вектор эксплуатации и предложить конкретное исправление
- Практический опыт внедрения SSDLC и security gates
- Понимание микросервисной архитектуры и безопасности Kubernetes: Pod Security Standards, NetworkPolicies, RBAC, безопасность Docker-образов
- Опыт взаимодействия с разработчиками и аналитиками, умение доносить требования безопасности на понятном языке
- Понимание принципов оценки рисков ИБ, умение приоритизировать по влиянию на бизнес, а не только по CVSS
- Опыт координации или наставничества AppSec-специалистов
- БУДЕТ ПРЕИМУЩЕСТВОМ:
- Опыт в безопасности LLM/AI-приложений: OWASP Top 10 for LLM Applications, тестирование prompt injection, red teaming языковых моделей, понимание рисков RAG-пайплайнов и агентов с доступом к инструментам
- Опыт пентеста мобильных приложений с Frida, objection, jadx, MobSF
- Навыки автоматизации на Python: скрипты для security-тулинга, парсинг результатов сканирований, интеграции
- Опыт построения программы Security Champions
- Знание стандартов PCI DSS, 152-ФЗ, ISO 27001 в контексте требований к разработке
- Опыт работы с платформами управления уязвимостями (DefectDojo, ARX ASPM)
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Ещё в Банк ДОМ.РФ
13 активных вакансий в компании
Руководитель отдела Application Security
~3 941 604 – 3 941 604 ₸ оценка
Руководитель отдела Application Security: построение процессов безопасной разработки, управление командой, проведение пентестов и анализ уязвимостей. Требуется опыт от 3 лет в практическом анализе защищенности и управлении командой.
QA-инженер (ручное тестирование)
~841 260 – 1 473 600 ₸ оценка
Ищем QA-инженера с опытом ручного тестирования web-приложений от 2 лет для работы в финтех-компании. Нужно будет анализировать требования, писать тест-кейсы, проводить функциональное тестирование и работать с API, SQL и брокерами сообщений. Предлагаем работу в команде с современными инструментами и процессами Scrum.
Дата-инженер
~3 107 362 – 4 018 140 ₸ оценка
Ищем опытного дата-инженера для развития хранилища данных на Greenplum. Требуется 5+ лет опыта, владение SQL, Python, Airflow и DBT. Задачи включают разработку ETL/ELT процессов и мониторинг сервисов.
DBA (Oracle/GreenPlum)
~1 350 800 ₸ оценка
Ищем опытного DBA для управления базами данных Oracle и GreenPlum. Нужно будет настраивать, обновлять и оптимизировать СУБД, обеспечивать их производительность и надежность. От кандидата требуется уверенное знание SQL и опыт работы с системами мониторинга.
Похожие вакансии
6 вакансийSenior Security Engineer
~2 806 320 – 3 750 264 ₸ оценка
Шукаємо Senior Security Engineer для побудови та розвитку SecOps-процесів у продуктовій IT-компанії. Потрібен досвід з SIEM, EDR, хмарною безпекою та автоматизацією. Пропонуємо віддалену роботу, офіційне оформлення, медстрахування та навчання.
Senior DevSecOps Engineer
~2 806 320 – 3 750 264 ₸ оценка
Шукаємо Senior DevSecOps Engineer для посилення Security команди. Потрібно будувати та інтегрувати процеси безпеки в інфраструктуру та CI/CD, працювати з AWS, Kubernetes, Terraform. Пропонують віддалену роботу, офіційне оформлення, медстрахування та навчання.
Ведущий специалист средств защиты информации
~2 806 320 – 3 750 264 ₸ оценка
Ищем ведущего специалиста по информационной безопасности для поддержки и развития средств защиты информации (PAM, антивирусы, WAF, NGFW и др.). Требуется опыт от 3 лет, глубокие знания администрирования СрЗИ и ОС Linux/Windows. Предлагаем гибридный график, ДМС и оплату курсов.
Специалист Red Team (пентестер)
~2 806 320 – 3 750 264 ₸ оценка
Ищем опытного пентестера в команду Red Team ведущего системного интегратора. Нужно проводить тестирования на проникновение, анализировать защищённость, координировать проекты и наставлять коллег. Предлагаем гибкий график, удалёнку, обучение и соцпакет.
Специалист по информационной безопасности (эксперт-исследователь)
~2 806 320 – 3 750 264 ₸ оценка
Вакансия для опытного специалиста по информационной безопасности: участие в экспертных интервью и исследованиях решений ведущих вендоров. Требуется опыт от 3 лет и аналитические навыки. Предлагается гибкий график и дополнительный заработок.
Технический менеджер в команду безопасности инфраструктуры
~2 806 320 – 3 750 264 ₸ оценка
Ищем опытного технического менеджера в команду безопасности инфраструктуры крупнейшего российского мессенджера. Нужно управлять инициативами по ИБ, координировать автоматизацию контроля, проводить аудиты и настраивать средства защиты. Требуется опыт от 5 лет в ИБ, понимание Linux/Windows, сетей и CI/CD.