56 минут назад
AppSec Инженер
Загружаем источник...Мэтч & Сопровод
Покажет вашу совместимость и напишет письмо
Описание вакансии
Специалист по информационной безопасности (AppSec)
Вместе с нами тебе предстоит:
Участие в процессе безопасной разработки:
• формирование требований ИБ к продуктам;
• формирование требований по обеспечению защищенности разрабатываемого приложения;
• оценка рисков безопасности приложения;
• инициирование инструментальных проверок разрабатываемого продукта;
• ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки;
• триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• углубленный анализ уязвимостей в разрабатываемого ПО;
• контроль поставки на исправление подтвержденных уязвимостей;
• формирование предложения по компенсирующим мерам и их оценке;
• внедрение AppSec-практик в команды разработки.
Какие знания и навыки для нас важны:
• Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности.
• Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA): • умение работать с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy и т.п.);
• анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA);
• опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.);
• опыт работы с инструментами контейнеризации.
• Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п..
• Знание одного из скриптовых языков программирования (Bash / Powershell / Python).
• Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей.
• Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них.
• Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.).
• Знания технологий виртуализации и контейнеризации.
• Глубокий уровень понимания ОС *nix.
• Знание английского на уровне чтения технической литературы.
• Коммуникабельность.
👉
Вместе с нами тебе предстоит:
Участие в процессе безопасной разработки:
• формирование требований ИБ к продуктам;
• формирование требований по обеспечению защищенности разрабатываемого приложения;
• оценка рисков безопасности приложения;
• инициирование инструментальных проверок разрабатываемого продукта;
• ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки;
• триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• углубленный анализ уязвимостей в разрабатываемого ПО;
• контроль поставки на исправление подтвержденных уязвимостей;
• формирование предложения по компенсирующим мерам и их оценке;
• внедрение AppSec-практик в команды разработки.
Какие знания и навыки для нас важны:
• Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности.
• Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA): • умение работать с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy и т.п.);
• анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA);
• опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.);
• опыт работы с инструментами контейнеризации.
• Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п..
• Знание одного из скриптовых языков программирования (Bash / Powershell / Python).
• Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей.
• Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них.
• Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.).
• Знания технологий виртуализации и контейнеризации.
• Глубокий уровень понимания ОС *nix.
• Знание английского на уровне чтения технической литературы.
• Коммуникабельность.
👉
Будьте осторожны: если работодатель просит войти в их систему, используя iCloud/Google, прислать код/пароль, запустить код/ПО, не делайте этого - это мошенники. Обязательно жмите "Пожаловаться" или пишите в поддержку. Подробнее в гайде →
Текст вакансии взят без изменений
Источник -