Senior AppSec Engineer

Мы ищем опытного Senior AppSec Engineer, который возьмёт на себя ответственность за безопасность наших приложений и архитектур. Вы станете ключевым звеном в интеграции безопасной разработки (Secure SDLC) в наш процесс, будете работать бок о бок с разработчиками, DevOps и архитекторами, обеспечивая защиту на всех этапах - от проектирования до эксплуатации.

Чем предстоит заниматься:

• Разработка и внедрение стратегии безопасности приложений (AppSec) в рамках производственного подразделения компании;
• Проведение анализа угроз (threat modeling) на этапе проектирования архитектуры;
• Выявление, анализ и приоритизация уязвимостей в ПО;
• Проведение ручного и автоматизированного тестирования на проникновение (penetration testing), включая SAST, DAST, SCA и IAST;
• Интеграция инструментов безопасности в CI/CD-пайплайны (GitLab CI, Jenkins);
• Обучение и консультирование команд разработчиков по вопросам безопасного кодирования;
• Разработка и поддержка security guidelines, secure coding standards и security checklists;
• Участие в расследовании инцидентов информационной безопасности, связанных с приложениями;
• Взаимодействие с группой сертификации по подготовке необходимой документации для получения сертификатов на ПО;
• Мониторинг и реагирование на уязвимости в сторонних компонентах и зависимостях (SBOM, управление уязвимостями);
• Точка контакта с регуляторами по вопросам практической безопасности;
• Синхронизация требования ФСТЭК и лаборатории с реальными Dev-процессами;
• Помощь командам проходить сертификационные проверки без боли.

Наши ожидания:

• Опыт работы в информационной безопасности, сфокусированный на безопасности приложений от 5 лет;
• Глубокое понимание OWASP Top 10, CWE/SANS Top 25, NIST SP 800-53 и других стандартов безопасности;
• Знание нормативно-правовой базы в области ИБ РФ;
• Опыт работы с лабораториями сертификации и ФСТЭК;
• Опыт настройки и эксплуатации инструментов:

1. SAST: SonarQube и др;
2. DAST: OWASP ZAP, Acunetix;
3. SCA: Snyk, Dependency-Check;
4. IaC Security: Terrascan.

• Умение читать и анализировать код на языках: Java, Python, JavaScript/TypeScript, Scala (минимум 2 из перечисленных);
• Опыт внедрения безопасного SDLC и DevSecOps практик;
• Знание протоколов аутентификации и авторизации (OAuth2, OpenID Connect, SAML);
• Понимание принципов криптографии и её применения в приложениях;
• Английский язык - Upper-Intermediate и выше (чтение документации, участие в международных совещаниях);
• Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике.
  Будет плюсом:
• Опыт работы с AI инструментами;
• Сертификации: OSCP, OSWE, CISSP, CISA, GWAPT, CSSLP;
• Опыт в red team / purple team;
• Участие в bug bounty программах;
• Опыт работы в регулируемых отраслях (ИБ, финансы, медицина, e-commerce);
• Знание DevOps-инструментов: Terraform, Ansible, ArgoCD.
  Условия:

• Официальное оформление в аккредитованную ИТ-компанию;
• Конкурентный оклад, премии по результатам работы;
• Возможность работать над передовыми продуктами в сфере кибербезопасности;
• Автономность работы, возможность менять правила, ошибаться и создавать новое;
• Сильная команда экспертов, которые всегда готовы помочь и поделиться знаниями;
• Перспективы для профессионального и карьерного продвижения;
• Корпоративные мероприятия, путешествия, спортивные активности онлайн и оффлайн (онлайн-марафоны, бег, йога, волейбол, лыжи, и др.);
  Социальный пакет
• ДМС со стоматологией в лучших клиниках России, возможность подключить родственников по корпоративным ценам;
• Доплата больничных и отпусков до 100% от оклада (28 дней в году), 10 оплачиваемых day-off на случай форс-мажора;
• Возможность бесплатного обучения: внешние обучения, профильные конференции, а также наши внутренние курсы и электронная корпоративная библиотека с сотнями книг;
• Скидки от компаний-партнеров: спорт, английский, психолог, интернет и многое другое;
• Материальная помощь при важных событиях в жизни (заключение брака, рождение детей и другое);
• Удаленный формат работы, современный офис или гибрид.