AppSec-инженер
Ищем Middle AppSec-инженера для финтех-направления крупного ИТ-холдинга. Нужно участвовать в безопасной разработке: искать уязвимости, внедрять практики AppSec, работать с инструментами анализа кода. Требуется знание OWASP Top 10, опыт с SAST/DAST/SCA и чтение кода на популярных языках. Предлагаем гибридный формат, стабильность и соцгарантии.
Зарплата не указана — оценили по рынку
На основе 107 похожих вакансий за 90 дней.
Что предстоит делать
Навыки: Информационная безопасность. Квалификация: Middle. Специализации: AppSec-инженер. ## О компании и команде **ИТ-Холдинг Т1 — **один из лидеров российского ИТ-рынка, партнёр ключевых производителей и разработчиков в сфере ИТ. По версии аналитических агентств CNews Analytics, TAdviser и RAEX, мы входим в топ-3 крупнейших российских ИТ-компаний. В нашем портфеле уже 70+ востребованных на рынке ИТ‑продуктов и услуг, ключевые – внесены в ЕРРП (реестр российского ПО). **В Т1 стабильность и финансовая надежность, а также социальные гарантии гармонично сочетаются с преимуществами ИТ‑компании — открытостью, инновациями и гибридным форматом работы.** **Мы стремительно растём, масштабируемся и ищем новых специалистов в команду!** **В**** рамках финтех‑направления **мы разрабатываем инновационные решения для цифровизации финансового сектора: современные финтех‑продукты, системы работы с большими данными и комплексные решения для фронт‑ и бэк‑офисов. В продуктовом портфеле — создание современных высоконагруженных фронтальных систем, омниканальных продуктов и высоконадежных платформ для поддержки банковского бизнеса. Мы работаем с крупнейшими организациями банковского сектора, ведущими финансовыми компаниями и активно выстраиваем партнерскую работу на Ближнем Востоке, в Африке и Юго‑Восточной Азии. Охват пользователей продуктов составляет более 15 миллионов человек.** ** **Вместе с нами тебе предстоит:** Участие в процессе безопасной разработки: - формирование требований ИБ к продуктам; - формирование требований по обеспечению защищенности разрабатываемого приложения; - оценка рисков безопасности приложения; - инициирование инструментальных проверок разрабатываемого продукта; - ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки; - триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки; - углубленный анализ уязвимостей в разрабатываемого ПО; - контроль поставки на исправление подтвержденных уязвимостей; - формирование предложения по компенсирующим мерам и их оценке; - внедрение AppSec-практик в команды разработки. **Какие знания и навыки для нас важны:** - Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности. - Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA): умение работать с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy и т.п.); - анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA); - опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.); - опыт работы с инструментами контейнеризации. Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п.. Знание одного из скриптовых языков программирования (Bash / Powershell / Python). Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей. Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них. Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.). Знания технологий виртуализации и контейнеризации. Глубокий уровень понимания ОС *nix. Знание английского на уровне чтения технической литературы. Коммуникабельность.
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Ещё в ИТ-Холдинг Т1
25 активных вакансий в компании
DevOps-инженер (стажёр)
~265 605 – 530 400 ₸ оценка
Стажировка для студентов в ИТ-холдинге Т1. Участники работают над реальными проектами в команде, получают опыт в DevOps и системном администрировании. Требуются базовые знания SQL, Linux, сетевых протоколов и систем мониторинга. Предлагается удалённая работа и оплачиваемая стажировка.
Инженер по ручному тестированию (стажер)
~663 000 ₸ оценка
Стажировка для студентов технических специальностей в крупном ИТ-холдинге. Участники работают над реальными проектами в команде, получают поддержку менторов и оплачиваемую практику. Требуются базовые знания тестирования, Linux и SQL.
ИТ-лагерь Т1 (Java Intern)
~1 741 196 ₸ оценка
Стажировка для студентов в крупном ИТ-холдинге Т1. Участники работают над реальными проектами в команде, получают поддержку менторов и оплачиваемую практику. Требуются базовые знания Java, Spring и алгоритмов.
Фронтенд разработчик (стажёр)
~696 150 ₸ оценка
Стажировка для студентов 1-3 курсов в ИТ-холдинге Т1. Участники работают над реальными проектами, получают поддержку менторов и оплачиваемую практику. Требуются знания HTML, CSS, JavaScript, React, алгоритмов и основ тестирования.
Похожие вакансии
6 вакансийИнженер по безопасности приложений (Application Security Engineer)
Solidgate ищет Application Security Engineer для встраивания безопасности в процесс разработки финтех-платформы с более чем 120 микросервисами. Вы будете проектировать безопасные архитектуры, внедрять SAST/DAST, моделировать угрозы и управлять уязвимостями. Требуется от 2 лет опыта в AppSec, знание OWASP Top 10 и опыт интеграции инструментов безопасности в CI/CD. Предлагают удаленную работу, 30+ дней отпуска, медстраховку и технику Apple.
Специалист по информационной безопасности (документационное обеспечение)
~1 392 300 – 1 989 000 ₸ оценка
Компания-разработчик финтех-приложения ищет специалиста по информационной безопасности для работы с документацией: политиками, регламентами, инструкциями. Нужен опыт от 3 лет и знание российских стандартов ИБ. Предлагают полную удаленку, ДМС и обучение.
Middle Application Security Engineer
Ищем Middle Application Security Engineer для работы в крупной финансовой программе. Нужно интегрировать безопасность в CI/CD, писать скрипты на Python, настраивать инструменты сканирования и помогать командам Java и Python исправлять уязвимости. Предлагают удаленную работу, конкурентную зарплату в USD и возможности роста.
Специалист по информационной безопасности
~1 392 300 – 1 989 000 ₸ оценка
Ищем опытного специалиста по информационной безопасности для аудита рисков, управления уязвимостями и развития архитектуры безопасности. Требуется 3-5+ лет опыта в кибербезопасности, знание IAM, hardening и incident response. Предлагаем гибкий формат работы, ДМС, компенсацию спорта и языков.
Пентестер / Специалист по тестированию на проникновение
Ищем пентестера для проведения тестирования на проникновение внешнего периметра крупных компаний. Нужен опыт поиска уязвимостей, знание Linux и сетевых технологий, владение инструментами вроде Burp, Nuclei, Nmap. Предлагаем полную удаленку, обучение и компенсацию спорта.
AppSec / Security Engineer
Компания ищет специалиста по безопасности для аудита микросервисов, приоритизации уязвимостей и развития практик безопасной разработки. Требуются навыки моделирования угроз, работы с Burp Suite и знание OWASP. Предлагают гибридный или удаленный формат, ДМС и обучение.