Инженер по безопасной разработке (AppSec)

Вместе с нами тебе предстоит:

Участие в процессе безопасной разработки:

• формирование требований ИБ к продуктам;
• формирование требований по обеспечению защищенности разрабатываемого приложения;
• оценка рисков безопасности приложения;
• инициирование инструментальных проверок разрабатываемого продукта;
• ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки;
• триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• углубленный анализ уязвимостей в разрабатываемого ПО;
• контроль поставки на исправление подтвержденных уязвимостей;
• формирование предложения по компенсирующим мерам и их оценке;
• внедрение AppSec-практик в команды разработки.

• Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности.
• Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA):
  • умение работать с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy и т.п.);
  • анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA);
  • опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.);
  • опыт работы с инструментами контейнеризации.
• Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п..
• Знание одного из скриптовых языков программирования (Bash / Powershell / Python).
• Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей.
• Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них.
• Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.).
• Знания технологий виртуализации и контейнеризации.
• Глубокий уровень понимания ОС *nix.
• Знание английского на уровне чтения технической литературы.
• Коммуникабельность.