Ведущий инженер по безопасности приложений (AppSec)

Чем предстоит заниматься:

• Проведение регулярного анализа безопасности приложений с помощью ручных и автоматизированных средств, выявление уязвимостей, составление отчетов и разработка рекомендаций для устранения уязвимостей;
• Интегрирование мер безопасности в каждый этап жизненного цикла разработки (SDLC), включая проектирование, разработку, тестирование и развертывание;
• Проведение статического (SAST) и динамического (DAST) для анализа кода и поведения приложений;
• Автоматизация процессов тестирования безопасности с помощью инструментов и скриптов для ускорения выявления и устранения уязвимостей;
• Проведение оценки безопасности сторонних библиотек, компонентов и сервисов, используемых в разработке приложений, для предотвращения возможных угроз;
• Анализ артефактов с автоматизированных средств тестирования информационной безопасности;
• Взаимодействие с командой разработки для устранения уязвимостей, внедрения исправлений и улучшений безопасности;
• Обеспечение соблюдения внутренних и внешних стандартов безопасности, таких как ГОСТ Р 56939-2024, OWASP, NIST и поддерживание соответствия требованиям внутренних нормативных документов и регуляторов ФСТЭК;
• Внедрение процессов и методик безопасного программирования (Secure Coding) для команд разработки;
• Ведение отчетности и информирование руководства о состоянии безопасности приложений, выявленных угрозах, результатах тестирования и принимаемых мерах;
• Анализ текущих и новых угроз, отслеживание трендов в сфере кибербезопасности и предложение проактивных мер защиты для проектов;
• Участие в расследовании инцидентов, связанных с курируемыми продуктами/проектами.

Наши требования:

• Глубокое понимание киберугроз и уязвимостей приложений (SQL Injection, XSS, CSRF, XXE и др.) и методов их предотвращения;
• Знание ключевых стандартов безопасности, таких как OWASP Top 10, CWE/SANS Top 25, моделей угроз и методологий, например STRIDE;
• Знание методов статического (SAST), динамического (DAST) и интерактивного анализа (IAST) безопасности и инструментов для их реализации;
• Опыт работы с инструментами анализа безопасности, такими как Burp Suite, OWASP ZAP, Solar App-screener, PTAI, BlackBox и др;
• Знание процессов CI/CD и принципов интеграции мер безопасности на каждом этапе разработки;
• Знание стандартов и требований безопасности для соблюдения регуляторных норм (ГОСТ Р 56939-2024, GDPR, PCI DSS, HIPAA, ISO 27001 и др.).;
• Умение проводить статический, динамический и интерактивный анализ кода и конфигураций для обнаружения уязвимостей;
• Опыт работы с инструментами анализа безопасности и настройки их под конкретные задачи и приложения;
• Навыки внедрения мер безопасности в процессы разработки и CI/CD с учетом AppSec и DevSecOps принципов;
• Опыт автоматизации задач безопасности, например, написание скриптов для мониторинга и автоматического тестирования;
• Знание языков программирования (например, Python, Java, JavaScript, C#) и принципов безопасного программирования (Secure Coding);
• Применение методов защиты кода, таких как шифрование, управление доступом и контроль целостности данных;
• Опыт проведения аудитов безопасности, анализа рисков и тестирования на проникновение для выявления потенциальных уязвимостей;
• Умение создавать и вести документацию по процессам безопасности, инцидентам и мерам реагирования;
• Способность выявлять уязвимости, оценивать риски и разрабатывать меры для их минимизации;
• Опыт тестирования Android/iOS приложений (знание MASTG);
• Опыт работы с Docker и Kubernetes.

Условия:

• Оформление по ТК РФ с официальной заработной платой;
• График работы: 5/2, с 9:00 до 18:15 (в пятницу — до 17:00), гибридный / удаленный формат работы;
• Возможность обучаться и сертифицироваться за счёт компании: внешние тренинги и семинары по профессиональным тематикам, отраслевые конференции, программа развития управленческих навыков, очные мастер-классы, платформы онлайн-образования и многое другое;
• Развитая система компенсаций и льгот;
• Широкий пакет ДМС (включая выезд за рубеж и стоматологию);
• Страхование жизни и здоровья;
• Скидки в магазинах сети Х5 («Пятёрочка», «Перекрёсток» и т.д.);
• Программа привилегий Prime-zone (скидки на товары и услуги и специальные предложения от компаний-партнёров);
• Материальная помощь сотрудникам, попавшим в сложную жизненную ситуацию.