AppSec Engineer (Senior)
системы_и_алгоритмы · РФ · 10 часов назад
#вакансия #vacancy #AppSec
❕В аккредитованную ИТ-компанию требуется AppSec Engineer❕
Компания: Системы и Алгоритмы
З/П: 350 000 руб. (gross)
Тип занятости: Удаленка
Локация: РФ
Позиция: Senior
Аккредитованная ИТ-компания «Системы и Алгоритмы» приглашает AppSec Engineer для усиления команды безопасности. Мы ищем специалиста, который большую часть времени готов посвящать практическому аудиту приложений, ручному поиску уязвимостей, code review и внутренним пентестам. Основной фокус — безопасность приложений на всех этапах SDLC, интеграция инструментов безопасности и взаимодействие с командами разработки.
⭐️ Что ждём от Вас:
Безопасность приложений:
• Знание OWASP Top 10;
• Понимание Secure SDLC и принципов Secure by Design;
• Знание основных типов уязвимостей и способов их эксплуатации.
Практические навыки:
• Проведение аудитов безопасности приложений;
• Ручной анализ исходного кода на наличие уязвимостей (code review);
• Проведение внутренних пентестов веб-приложений;
• Анализ приложений в динамике (DAST, ручное тестирование);
• Работа с Burp Suite и аналогичными инструментами;
• Triage результатов сканирования (SAST/DAST/SCA/Secret Scanning);
• Формирование рекомендаций по устранению уязвимостей и сопровождение до закрытия.
Архитектура и процессы:
• Проведение архитектурных ревью и анализ моделей угроз;
• Понимание процессов разработки ПО;
• Взаимодействие с командами разработки;
• Подготовка security requirements и security notes;
• Понимание интеграции инструментов безопасности в SDLC и CI/CD.
Будет плюсом:
• Опыт работы Security Champion / Security BP;
• Опыт построения процессов Application Security;
• Опыт формирования исключений (False Positive Management);
• Опыт централизации и корреляции результатов нескольких SAST/DAST инструментов;
• Наличие профильных сертификатов AppSec.
⭐️ Что нужно делать:
• Проводить аудиты безопасности приложений (web, API, mobile) с акцентом на ручной поиск уязвимостей;
• Выполнять code review на предмет уязвимостей и формировать рекомендации по исправлению;
• Проводить внутренние пентесты веб-приложений и API;
• Выполнять анализ приложений в динамике (DAST, ручное тестирование);
• Проводить triage результатов SAST/DAST/SCA и других инструментов безопасности;
• Сопровождать найденные уязвимости до полного устранения;
• Взаимодействовать с командами разработки, помогать внедрять безопасные практики;
• Участвовать в архитектурных ревью и формировании требований безопасности;
• Интегрировать инструменты безопасности в CI/CD и SDLC-процессы.
📲 Контакты для связи:
@Serg06SA
@sdobrynin06
+7 969 865 42 25