Назад

AppSec Engineer (Cybersecurity)

250 000 - 350 000
Формат работы
hybrid
Тип работы
fulltime
Грейд
middle
Страна
Russia
vacancy_detail.hirify_telegram_tooltipВакансия из Telegram канала -

Мэтч & Сопровод

Покажет вашу совместимость и напишет письмо

Описание вакансии

AppSec.

Локация:
#Москва.
Опыт: 1+ лет.
Зарплата: 250 000 —‍ 350 000 ₽.
Компания:

Обязанности:
• Проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов.
• Разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей.
• Участвовать в проработке и согласовании архитектуры приложений с точки зрения ИБ: проводить Threat Modeling (STRIDE, OWASP), выявлять • Архитектурные недостатки и аргументированно защищать свою экспертизу перед командами разработки.
• Выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP.
• Внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM.
• Интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Go или Bash.
• Разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep).

Требования:
• Высшее образование в сфере информационной безопасности.
• Опыт работы инженером AppSec или DevSecOps от 2 лет.
• Практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM.
• Опыт работы с DAST (OWASP ZAP или аналогами).
• Знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Go, Python, JavaScript/TypeScript).
• Опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management.
• Глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения.
• Понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups).
• Опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD.



#Гибрид

Будьте осторожны: если работодатель просит войти в их систему, используя iCloud/Google, прислать код/пароль, запустить код/ПО, не делайте этого - это мошенники. Обязательно жмите "Пожаловаться" или пишите в поддержку. Подробнее в гайде →

Текст вакансии взят без изменений

Источник -