Эксперт по безопасности приложений (Appsec)

Проводить моделирование угроз (Threat Modeling) для нового и существующего функционала, составляя Abuse Cases и Attack Trees.

Разрабатывать и актуализировать требования безопасности на всех этапах жизненного цикла ПО (архитектура, код, используемые компоненты).

Выполнять security review архитектуры и кода, а также проводить триаж и анализ выявленных уязвимостей.

Интегрировать и совершенствовать инструменты безопасности (SAST, DAST, SCA) в процессы CI/CD, консультировать разработчиков по результатам проверок.

Консультировать и обучать команды разработки по вопросам безопасности приложений, создавая обучающие материалы и методические пособия.

Оценивать защищенность сторонних продуктов и приложений, не охваченных основным процессом разработки, и формировать рекомендации по устранению рисков.

Участвовать в разработке и внедрении регламентов, инструкций и мер защиты для обеспечения безопасной разработки ПО (SDLC).

Проводить исследовательскую работу (research) в области безопасности продуктов и автоматизации проверок для оптимизации процессов.

Опыт работы в сфере безопасности приложений (Application Security) от 2 лет.

Знание основных уязвимостей веб- и мобильных приложений и умение строить цепочки для их эксплуатации.

Понимание архитектуры современных высоконагруженных приложений и связанных с ней рисков безопасности.

Опыт анализа уязвимостей и оценки их критичности в контексте бизнес-логики приложения.

Умение программировать и автоматизировать задачи на Python, Bash или Go.

Опыт написания кастомных правил для инструментов безопасности (SAST, DAST, Secret Scan).

Навыки работы с Git, CI/CD (GitLab Pipelines) и код-ревью для поиска логических и технических уязвимостей в коде (C#, Java, Python).