Ведущий инженер по безопасности приложений (AppSec)

Наша компания занимается разработкой высокотехнологичных сервисов на базе алгоритмов искусственного интеллекта (компьютерное зрение и тексты) для медицинских сервисов.

Наши решения помогают:
- медицинским учреждениям достигать высоких результатов;
- врачам принимать эффективные решения;
- пациентам сохранить свое здоровье.

Сейчас мы в поисках опытного Инженера AppSec​​​​​​​.

Обязанности:

-имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения;

-моделирование угроз и формирование требований безопасности;

-внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов;

-проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей;

-осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности;

-внедрение, настройка и поддержка WAF, реагирование на атаки;

-участие в расследовании инцидентов информационной безопасности;

-сопровождение внешних тестирований на проникновение.

Требования:

-знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;

-практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;

-понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.);

-умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir);

-знание SQL (PostgreSQL);

-знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;

-навыки работы с инструментами SAST, DAST, SCA/OSA, др.;

-понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps.

Технологический стек:

-фреймворки: aiohttp, sqlalchemy, asyncpg, poetry, django, websockets, react, redux, socket.io, elixir, ecto, tensorflow;

-СУБД: postgresql, mongodb;

-журналирование, мониторинг: graylog, prometheus, grafana, elasticsearch, fluent-bit;

-контейнеризация и доставка: docker, dockerize, docker-compose, kubernetes, gitlab-runner, ansible.

Будет преимуществом:

-языки: python3, javascript, typescript, erlang;

-образование (курсы) в области application security, ethical hacking, penetration testing;

-опыт участия в Bug Bounty, CTF.

Условия:

-возможность самореализации при работе с интересными задачами и проектами;

-разностороннее профессиональное развитие;

-дружный молодой коллектив;

-привлекательная заработная плата;

-оформление по ТК РФ;

-премии по итогам работы;

-возможность работать удаленно либо в современном офисе Сколково;

-гибкое начало и окончание рабочего дня, свободный дресс-код;

-ДМС с 1-ого дня оформления