Специалист по информационной безопасности (AppSec)

Что предстоит делать

• Анализ исходного кода на уязвимости (ручной/автоматизированный);
• Обучение разработчиков – повышение навыков безопасного кодирования и проведение тренингов;
• Реагирование на уязвимости – приоритизация найденных проблем, валидация, помощь в исправлении;
• Эксплуатация SAST\DAST.

Что ждём от вас

• Готовность к проектной деятельности (данная вакансия подразумевает проектную занятость приблизительно на полтора года);
• Релевантный опыт работы в отделе ИБ от 3-х лет;
• Понимание кибербезопасности: знание OWASP Top 10, MITRE ATT&CK, распространенных уязвимостей (XSS, CSRF, SQLi, RCE и т.д.);
• Опыт работы с инструментами для статического (SAST: Semgrep, SonarQube) и динамического (DAST: Burp Suite, OWASP ZAP) анализа безопасности, а также для анализа состава ПО (SCA: Dependency-Track, OWASP Dependency Check);
• Уверенное чтение и анализ кода на одном или нескольких ЯП: Python, Go, JavaScript/TypeScript, Kotlin (требуется не просто понимание синтаксиса, а способность выявлять ошибки и уязвимые паттерны);
• Аналитическое мышление: умение не просто находить уязвимость, но и анализировать первопричины, приоритизировать риски и предлагать эффективные методы их устранения.
• Дополнительные требования:
• Активное участие в процессах: проведение Security Code Review, Threat Modeling (моделирование угроз), Security Architecture Review и консультирование разработчиков;
• Знание особенностей безопасности микросервисной архитектуры, REST/gRPC API и работы с контейнерами (Docker, Kubernetes).

Что предлагаем