Инженер по безопасности приложений (AppSec)

Что предстоит делать

Мы - Right Line, российская ИТ-компания, работающая с 2017 года. Мы разрабатываем решения для банков и финансовых компаний. Наша команда стала первым сертифицированным вендором решения для Системы Быстрых Платежей в России, начавшей подключать российские банки к этой системе, опередив крупных ИТ-гигантов. Первым подключенным клиентом стал Т-Банк, участвовавший в пилотном проекте. Также, мы запустили сервис трансграничных переводов по номеру телефона прямо из банковского приложения. А еще мы активно участвуем в проекте “Цифровой рубль” и на базе нашего решения уже проходят первые операции с новой формой национальной валюты! Мы продолжаем расти, развивать новые направления и формировать команду профессиональными коллегами, которые, как и мы, хотят добиваться крутых результатов. Мы развиваем практики безопасной разработки для внутренних продуктов компании и ищем Инженера по безопасности приложений, который поможет встроить безопасность во все этапы SDLC – от проектирования и разработки до эксплуатации.

• Проводить проверки приложений и сервисов на наличие уязвимостей (SAST, SCA, DAST, обнаружение секретов, фаззинг), готовить POC‑эксплуатации и понятные отчёты для команд;
• Проводить триаж уязвимостей: оценка риска и влияния, приоритизация, постановка задач на исправление, контроль сроков и качества устранения уязвимостей;
• Участвовать в проектировании: проводить моделирование угроз (например, STRIDE), ревью архитектуры по безопасности и дизайн‑решений, формулировать требования к аутентификации, авторизации, шифрованию и журналированию;
• Развивать SSDLC и DevSecOps: определять и внедрять контроли по безопасности на этапах требований, дизайна, разработки, тестирования и эксплуатации, настраивать гейты безопасности в GitLab CI/CD;
• Сопровождать и развивать AppSec‑инструменты: интеграция сканеров в конвейер разработки, настройка политик, исключений и отчётности, участие в выборе и пилотах новых решений;
• Участвовать в аудитах безопасности сервисов и разборах инцидентов: анализ причин, выработка устойчивых мер, предотвращающих повторное возникновение уязвимостей целого класса;
• Консультировать команды разработки и архитекторов по вопросам безопасной разработки, разбору и устранению уязвимостей, шаблонам безопасного кодирования;
• Проводить тренинги, воркшопы и семинары по AppSec (OWASP Top 10 / API Security, безопасная аутентификация и управление сессиями, защита API и интеграций и т.п.);
• Исследовать новые векторы атак и тренды в AppSec, предлагать улучшения процессов и инструментов.
• Что мы ожидаем от кандидата:
• Высшее техническое образование (желательно профильное ИБ или практический опыт в разработке/безопасности приложений);
• Опыт работы в роли инженера по безопасности приложений от 3 лет, участие в реальных проектах по защите веб‑ или API‑сервисов в продакшене;
• Практический опыт внедрения и эксплуатации инструментов:SAST, SCA, DAST, фаззинг, поиск секретов. Интеграция этих инструментов в CI/CD (желательно GitLab CI/CD);
• Опыт работы с Docker, Kubernetes, GitLab (или аналогичными системами контроля версий и CI/CD);
• Умение проводить ревью кода с фокусом на безопасность, давать разработчикам понятные и практичные рекомендации;
• Владение одним из языков программирования (Python / Go / Bash);
• Глубокое понимание причин возникновения и способов эксплуатации уязвимостей из OWASP Top 10 и OWASP API Security, а также практического устранения этих проблем;
• Навыки общения: умение объяснить сложные технические риски понятным языком, договариваться о приоритетах, конструктивно отстаивать позицию безопасности. Будет плюсом:
• Опыт участия в построении или развитии практик безопасного кодирования SDLC / AppSec / DevSecOps в компании (описание процессов, политик, стандартов безопасное кодирование, матриц угроз);
• Опыт проведения моделирования угроз с командами разработки, ревью архитектур, работы с высоконагруженными и распределёнными системами;
• Опыт взаимодействия с аудитами, заказчиками и регуляторами, подготовки доказательной базы по соответствию требованиям (ГОСТ Р 56939‑2024, ГОСТ Р 57580, OWASP SAMM, PCI SSF, ISO/IEC, NIST SSDF);
• Опыт работы в роли тимлида или технического лидера в области ИБ или разработки;
• Наличие профессиональных сертификаций (например, CSSLP, GWAPT, OSWE/OSCP, eWPT, eWPTX и др.);
• Опыт участия в баг баунти / CVD‑программах, публичных докладах/статьях по AppSec.
• Преимущества работы в нашей команде:
• Официальное оформление в штат с первого рабочего дня, все по ТК РФ;
• Работа в аккредитованной ИТ-компании, отсрочка от мобилизации и другие приятные бонусы;
• Удаленный формат работы, либо работа в гибридном формате в офисе (Москва, (ул. Большая Тульская, 11) в бизнес-центре класса “А” рядом
• с м.Тульская, в котором обязательно есть кофе, чай, фрукты, бутерброды, печеньки, а главное – классные коллеги, с которыми всегда есть, что обсудить:);
• Конкурентная заработная плата;
• Амбициозные проекты (нашими разработками уже пользуются миллионы людей);
• ДМС, подарок на день рождения, крпоративный английский;
• Корпоративные мероприятия (офлайн и онлайн), пятничные киносеансы и настолки, экскурсии, спортивные активности;
• Свобода в принятии решений и большая перспектива быстрого карьерного роста.