YoVA YoVA

Банк ДОМ.РФ

Руководитель направления Application Security

Не указана
  • Москва
  • От 3 до 6 лет

ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ:

Безопасная разработка:
  • Построение и развитие SSDLC: внедрение security gates в CI/CD pipeline, настройка и оптимизация SAST, DAST, SCA/OSA, снижение false positives до рабочего уровня
  • Анализ результатов сканирований, триаж уязвимостей, формирование конкретных рекомендаций для разработчиков с описанием вектора атаки и предложениями по исправлению
  • Приоритизация бэклога уязвимостей по реальному влиянию на бизнес, контроль SLA по устранению
  • Разработка и актуализация стандартов и инструкций по безопасной разработке
Анализ защищённости:
  • Проведение пентестов веб-сервисов и мобильных приложений
  • Threat modeling: анализ бизнес-требований и ТЗ по доработкам, выявление рисков на этапе проектирования
  • Security code review критичных компонентов
​​​​​​Взаимодействие и экспертиза:
  • Консультирование команд разработки по вопросам безопасного кода и архитектуры
  • Участие в разборе инцидентов безопасности, связанных с уязвимостями приложений
  • Взаимодействие с DevOps и платформенной командой при внедрении security gates в pipeline
  • Формирование отчётности по состоянию защищённости приложений для руководства

НАШИ ПОЖЕЛАНИЯ К КАНДИДАТУ:

  • Опыт в AppSec / практическом анализе защищённости от 3 лет
  • Уверенная работа с инструментами SSDLC: SAST (PT AI, Semgrep), DAST (Burp Suite, OWASP ZAP), SCA/OSA (Dependency-Track, Grype). Плюсом будет умение тюнить правила и сработки разработчикам
  • Глубокое знание OWASP Top 10, OWASP Mobile Top 10, CWE — умение объяснить вектор эксплуатации и предложить конкретное исправление
  • Практический опыт внедрения SSDLC и security gates
  • Понимание микросервисной архитектуры и безопасности Kubernetes: Pod Security Standards, NetworkPolicies, RBAC, безопасность Docker-образов
  • Опыт взаимодействия с разработчиками и аналитиками, умение доносить требования безопасности на понятном языке
  • Понимание принципов оценки рисков ИБ, умение приоритизировать по влиянию на бизнес, а не только по CVSS
  • Опыт координации или наставничества AppSec-специалистов

БУДЕТ ПРЕИМУЩЕСТВОМ:

  • Опыт в безопасности LLM/AI-приложений: OWASP Top 10 for LLM Applications, тестирование prompt injection, red teaming языковых моделей, понимание рисков RAG-пайплайнов и агентов с доступом к инструментам
  • Опыт пентеста мобильных приложений с Frida, objection, jadx, MobSF
  • Навыки автоматизации на Python: скрипты для security-тулинга, парсинг результатов сканирований, интеграции
  • Опыт построения программы Security Champions
  • Знание стандартов PCI DSS, 152-ФЗ, ISO 27001 в контексте требований к разработке
  • Опыт работы с платформами управления уязвимостями (DefectDojo, ARX ASPM)

​​​​​​​

Источник вакансии
Вернуться, к списку вакансий
© 2019-2023 YoVA | Все права сохранены