Сейчас мы в поисках Application Security Engineer, которому предстоит выстраивать безопасность эксплуатации всех наших систем, продуктовую безопасность, а также развивать практики безопасной разработки в компании.
Чем предстоит заниматься:
- участвовать в аудитах безопасности микросервисов/веб-приложений;
заниматься приоритизацией беклога уязвимостей; - вести проекты по выстраиванию взаимодействия продуктовых команд с
AppSec; - участвовать в развитии практик по направлению SSDLC: принимать участие
во встречах с разработчиками, развивать практики безопасной разработки;
триаж отчетов на БагБаунти; - триаж потенциальных уязвимостей найденных SAST.
От успешного соискателя мы ожидаем:
- навыки моделирования угроз, поиска уязвимостей и выбора мер защиты;
- навыки анализа безопасности архитектурных решений микросервисных решений, умение предлагать более безопасные варианты;
- знание методологий и практик SSDLC;
- понимание принципов работы с инструментами SAST, SCA, DAST, Secret
Management; - понимание принципов выявления уязвимостей из OWASP ор 10, OWASP
Mobile Top 10, CWE Тор 25, способность рассказать как их устранить и не
допускать в будущем; - навык находить общий язык с командами разработки, AppSec, ИБ и
продуктовыми командами; - навыки тестирования безопасности мобильных приложений;
проведение тестирования безопасности лендингов написанных с
использованием типовых CMS (bitrix, tilda).