Application Security Engineer

Мы ищем Application Security Engineer. На этой роли вам предстоит выстраивать безопасность эксплуатации всех наших систем, продуктовую безопасность, а также развивать практики безопасной разработки в компании.

Чем предстоит заниматься

• разработка и адаптация практик обнаружения дефектов безопасности в исходном коде, зависимостях и/или других артефактах;
• анализ актуальных угроз, архитектур и формирование требований к безопасности приложений;
• внедрение инструментов автоматического анализа (в т.ч. SAST, DAST, SCA, OSA), анализ результатов работы инструментов;
• участие в планировании разработки нового функционала приложения, анализ решения по результатам разработки;
• создание точек контроля, выявляющих отклонения продукта от требований информационной безопасности в том числе runtime;
• администрирование, разработка и внедрение системы информационной безопасности в части безопасного цикла разработки;
• проведение обучения разработчиков требованиям информационной безопасности.

Что для этого нужно:

• понимание современных процессов и практик разработки ПО: OWASP SAMM, BSIMM, Microsoft SDLC;
• навыки работы с инструментами SAST, DAST, SCA/OSA, IaC, IAST;
• навыки анализа актуальных угроз, архитектур и формирование требований безопасности приложений;
• знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• умение читать код на разных языках программирования;
• практический опыт проведения анализа защищенности программных решений (black/gray/white box);
• навыки работы с Unix/Linux на уровне системного администратора.