Специалист По Информационной Безопасности (AppSec)

TL;DR

Senior Специалист По Информационной Безопасности (AppSec): Участие в процессе безопасной разработки, включая формирование требований ИБ к продуктам, оценку рисков безопасности приложений и внедрение AppSec-практик в команды разработки с акцентом на ручной и автоматизированный поиск недостатков ПО. Фокус на углубленном анализе уязвимостей в разрабатываемом ПО и контроле их исправления.

Локация: Возможна удалённая работа из России, в том числе из Нижнего Новгорода.

Что делать

• Участвовать в процессе безопасной разработки, формируя требования ИБ к продуктам и обеспечивая защищенность приложений.
• Оценивать риски безопасности приложений и инициировать инструментальные проверки разрабатываемого продукта.
• Выполнять ручной и автоматизированный поиск недостатков ПО, участвовать в их разборе с командами разработки.
• Проводить триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки.
• Осуществлять углубленный анализ уязвимостей в разрабатываемом ПО и контролировать их исправление.
• Внедрять AppSec-практики в команды разработки и формировать предложения по компенсирующим мерам.

Требования

• Знания практик AppSec и подходов к их применению, особенностей работы инструментов по анализу защищенности.
• Опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA), включая работу с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy.
• Опыт работы со SBOM файлами и файлами манифестов (package.json, poetry.lock, Dockerfile), а также с инструментами контейнеризации.
• Понимание (опыт чтения кода) языков Java, JS, Python, C/C++, C#, Kotlin, Obj-C.
• Знание одного из скриптовых языков программирования (Bash / Powershell / Python).
• Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям.
• Глубокое понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них.
• Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP) и ОС *nix.
• Английский: B2 (на уровне чтения технической литературы).

Культура и преимущества

• Возможность удаленной работы.
• Участие в проектах по безопасной разработке.
• Работа с актуальными инструментами и методологиями в области AppSec.
• Сотрудничество с командами разработки.
• Коммуникабельность и взаимодействие в команде.