Application Security инженер

Обязанности:

• Взаимодействие с DevOps в рамках интеграции инструментов безопасной разработки;

• Взаимодействие с инженерами центра киберзащиты в рамках внедрения инструментов безопасности сборочной среды;

• Анализ защищённости приложений (тестирование продукта с помощью автоматизированных инструментов) (SAST/DAST/SCA, Container security и т.д.));

• Участие в разработке правил для автоматизированных инструментов (SAST/DAST и т.д.).

Требования:​​​​​​​

• Понимание основ информационной безопасности: конфиденциальность, целостность, доступность (угрозы каждому свойству);

• Знание и понимания принципов эксплуатации угроз из OWASP Top 10, CWE Top 25 и защиты от них;

• Опыт работы с gRPC;

• Опыт разработки на Python;

• Понимание принципов устройства REST/gRPC API;

• Понимание принципов работы K8S – операторы, webhooks, reconciliation loop;

• Понимание принципов построения безопасного межсервисного взаимодействия;

• Опыт работы с инструментами контейнеризации (Docker, K8S) и автоматического развертывания;

• Уверенный пользователь Linux (работа с файлами, ssh, systemctl, стандартные команды обработки логов);

• Базовые знания основ DevOps/DevSecOps (ландшафт систем, их назначение, решаемые задачи, общее понимание процессов).

Будет плюсом:

• Практические навыки выполнения тестирования на проникновение;

• Сертификация SSCP, CSSLP;

• Готовность и желание погрузиться и стать экспертом в обозначенных выше областях;

• Опыт обработки результатов автоматизированных инструментов DevSecOps (SAST/DAST/SCA и т.д.);

• Проведение Security Code Review.

​​​​​​​