Инженер по безопасности приложений

Что предстоит делать

SOFTSWISS растет, и мы ищем опытного инженера по безопасности приложений (Application Security Engineer) для присоединения к нашей команде. Если вы стремитесь к совершенству и разделяете наши ценности, мы будем рады услышать вас. Цель роли: Наша цель — гарантировать, что мы развертываем безопасное программное обеспечение в production без ненужных узких мест, что приложения должным образом защищены, а уязвимости безопасности, после их обнаружения, устраняются разработчиками. В роли инженера по безопасности приложений вы будете играть ключевую роль в обеспечении безопасности наших приложений на протяжении всего жизненного цикла разработки программного обеспечения (SDLC). Вы будете тесно сотрудничать с продуктовыми командами для выявления, анализа и устранения уязвимостей безопасности, внося вклад в создание надежных и устойчивых продуктов. Ключевые обязанности: Сотрудничать с продуктовыми командами на этапе проектирования для проведения сессий моделирования угроз и оценки рисков. Выполнять углубленный ручной анализ кода критически важных приложений для выявления логических уязвимостей в рамках оценки безопасности методом белого ящика (white-box). Настраивать и корректировать наборы правил для инструментов автоматического сканирования безопасности для снижения количества ложных срабатываний и улучшения показателей обнаружения. Разрабатывать скрипты и инструменты автоматизации для оптимизации рабочих процессов и высвобождения времени для более сложного анализа. Помогать разработчикам в понимании рисков безопасности и угроз, обнаруженных в ходе оценки рисков, моделирования угроз и динамического тестирования. Проводить триаж уязвимостей из программы bug bounty, взаимодействуя с внешними исследователями и внутренними инженерными командами для устранения обнаруженных дефектов. Сотрудничать с командами Dev/QA на протяжении всего жизненного цикла разработки для улучшения состояния безопасности приложений, предоставляя специализированные консультации по безопасности, непрерывный обмен знаниями и практические рекомендации. Разрабатывать и поддерживать внутреннюю базу знаний по безопасности, включая всеобъемлющие руководства по безопасному кодированию и технические руководства для стандартных функций безопасности. Требуемый опыт: Более 1,5 лет опыта в области безопасности приложений, разработки программного обеспечения или смежных технических ролях. Твердое понимание основ веб-технологий (например, протоколы HTTP/HTTPS, механизмы хранения cookie и управление сессиями). Знание механизмов и средств контроля безопасности веб-приложений (например, SOP, CORS, CSP). Всестороннее понимание распространенных веб-уязвимостей (например, OWASP Top 10) и практических стратегий их устранения. Знание безопасной архитектуры систем и приложений наряду с принципами безопасности по умолчанию (secure-by-design). Практический, прикладной опыт выявления уязвимостей с помощью ручных оценок безопасности и анализа кода безопасности. Способность четко формулировать и объяснять бизнес-влияние выявленных угроз и уязвимостей разработчикам и продуктовым командам. Сильное мышление, ориентированное на безопасность в первую очередь, с постоянным стремлением к обучению и достижению совершенства в области кибербезопасности. Высшее образование в области компьютерных наук, информационной безопасности или смежной области (или эквивалентная комбинация образования и практического опыта). Владение английским языком на уровне Intermediate или выше (уровень B2 и выше) для эффективного технического общения. Будет плюсом: Увлеченность программированием. Технические знания в области безопасности сетей и операционных систем. Практический опыт DevSecOps. Опыт участия в программах bug bounty и/или CTF. Знание инструментов SAST/DAST, включая их настройку. Соответствующие сертификации (например, BSCP, eWPT и т.д.).