AppSec-инженер
Ищем опытного AppSec-инженера для внедрения практик безопасной разработки. Вы будете оценивать риски, искать уязвимости с помощью SAST/DAST/SCA, триажить недостатки и обучать команды. Требуется знание OWASP Top 10, инструментов анализа и скриптовых языков.
Зарплата не указана — оценили по рынку
На основе 583 похожих вакансий за 90 дней.
Что предстоит делать
Навыки: Информационная безопасность. Квалификация: Senior. Специализации: AppSec-инженер. **Вместе с нами тебе предстоит:** Участие в процессе безопасной разработки: - формирование требований ИБ к продуктам; - формирование требований по обеспечению защищенности разрабатываемого приложения; - оценка рисков безопасности приложения; - инициирование инструментальных проверок разрабатываемого продукта; - ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки; - триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки; - углубленный анализ уязвимостей в разрабатываемого ПО; - контроль поставки на исправление подтвержденных уязвимостей; - формирование предложения по компенсирующим мерам и их оценке; - внедрение AppSec-практик в команды разработки. **Какие знания и навыки для нас важны:** - Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности. - Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA): умение работать с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy и т.п.); - анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA); - опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.); - опыт работы с инструментами контейнеризации. Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п.. Знание одного из скриптовых языков программирования (Bash / Powershell / Python). Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей. Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них. Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.). Знания технологий виртуализации и контейнеризации. Глубокий уровень понимания ОС *nix. Знание английского на уровне чтения технической литературы. Коммуникабельность.
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Ещё в ИТ-Холдинг Т1
25 активных вакансий в компании
Инженер по ручному тестированию (стажер)
~663 000 ₸ оценка
Стажировка для студентов технических специальностей в крупном ИТ-холдинге. Участники работают над реальными проектами в команде, получают поддержку менторов и оплачиваемую практику. Требуются базовые знания тестирования, Linux и SQL.
DevOps-инженер (стажёр)
~265 605 – 530 400 ₸ оценка
Стажировка для студентов в ИТ-холдинге Т1. Участники работают над реальными проектами в команде, получают опыт в DevOps и системном администрировании. Требуются базовые знания SQL, Linux, сетевых протоколов и систем мониторинга. Предлагается удалённая работа и оплачиваемая стажировка.
ИТ-лагерь Т1 (Java Intern)
~1 741 196 ₸ оценка
Стажировка для студентов в крупном ИТ-холдинге Т1. Участники работают над реальными проектами в команде, получают поддержку менторов и оплачиваемую практику. Требуются базовые знания Java, Spring и алгоритмов.
Фронтенд разработчик (стажёр)
~696 150 ₸ оценка
Стажировка для студентов 1-3 курсов в ИТ-холдинге Т1. Участники работают над реальными проектами, получают поддержку менторов и оплачиваемую практику. Требуются знания HTML, CSS, JavaScript, React, алгоритмов и основ тестирования.
Похожие вакансии
6 вакансий
Сетевой инженер по безопасности
~500 000 – 700 000 ₸ оценка
Компания ищет опытного сетевого инженера по безопасности для администрирования и защиты сетевой инфраструктуры. В задачи входит настройка NGFW, VPN, IDS/IPS, управление уязвимостями и проведение аудитов. Предлагается полная занятость, обучение за счёт компании, медстраховка и питание.
Разработчик .NET / DevSecOps Инженер (Linux)
~400 000 – 600 000 ₸ оценка
Разработка и поддержка высоконагруженной системы онлайн-тестирования на .NET (C#) с интеграцией DevOps и кибербезопасности. Требуется опыт от 3 лет, глубокие знания Linux, Docker, Kubernetes, CI/CD и администрирования баз данных. Предлагается стабильная зарплата, официальное трудоустройство и работа в офисе в Астане.
Специалист по информационной безопасности (AntiDDoS, NGFW, XDR)
~400 000 – 600 000 ₸ оценка
Freedom Telecom ищет опытного специалиста по информационной безопасности для работы с AntiDDoS, NGFW, XDR и управления уязвимостями. Требуется не менее 5 лет опыта в ИБ, знание Linux и скриптовых языков. Компания предлагает стабильный график и бонусы экосистемы Freedom.
Специалист по информационной безопасности (SOC)
Ищем опытного специалиста по информационной безопасности для управления процессами мониторинга и реагирования на инциденты в SOC. Требуется знание SIEM-систем, стандартов ИБ и НПА РК, а также лидерские качества. Предлагаем стабильную работу в офисе с полным соцпакетом и бонусами.
Ведущий инженер по комплаенсу безопасности
~400 000 – 600 000 ₸ оценка
Компания EPAM ищет ведущего инженера по комплаенсу безопасности для удаленной работы в Казахстане. Вы будете управлять системой информационной безопасности, проводить аудиты и помогать проектам внедрять требования клиентов. Требуется опыт с ISO 27001, PCI DSS и другими стандартами, а также английский B2. Предлагают гибкий график, обучение и соцпакет.
Ведущий SOC разработчик (Tech Lead)
Wix ищет Tech Lead для команды SOC, который будет руководить анализом инцидентов, охотой за угрозами и автоматизацией безопасности в гибридной облачной среде. Требуется минимум 2 года опыта в кибербезопасности и владение инструментами SIEM, EDR, SOAR. Компания предлагает работу в международной команде и возможность влиять на безопасность глобальной платформы.