Руководитель направления Application Security

ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ:

• Построение и развитие SSDLC: внедрение security gates в CI/CD pipeline, настройка и оптимизация SAST, DAST, SCA/OSA, снижение false positives до рабочего уровня
• Анализ результатов сканирований, триаж уязвимостей, формирование конкретных рекомендаций для разработчиков с объяснением вектора атаки и предложениями по code fix
• Приоритизация бэклога уязвимостей по реальному бизнес-импакту, контроль SLA по устранению
• Разработка и актуализация стандартов и инструкций по безопасной разработке

• Проведение пентестов веб-сервисов и мобильных приложений
• Threat modeling: анализ бизнес-требований и ТЗ по доработкам, выявление рисков на этапе проектирования
• Security code review критичных компонентов

• Консультирование команд разработки по вопросам безопасного кода и архитектуры
• Формирование отчётности по состоянию приложений для руководства

НАШИ ПОЖЕЛАНИЯ К КАНДИДАТУ:

• Опыт в AppSec / практическом анализе защищённости от 3-х лет
• Уверенная работа с инструментами SSDLC: SAST (PT AI, Checkmarx, Semgrep), DAST (Burp Suite, OWASP ZAP), SCA/OSA (Dependency-Track, Snyk)
• Плюсом будет умение тюнить правила, объяснять findings разработчикам
• Глубокое знание OWASP Top 10, OWASP Mobile Top 10, CWE - умение объяснить вектор эксплуатации и предложить конкретное исправление
• Практический опыт внедрения SSDLC и security gates
• Понимание микросервисной архитектуры и безопасности Kubernetes: Pod Security Standards, NetworkPolicies, RBAC, безопасность Docker-образов
• Опыт взаимодействия с разработчиками и аналитиками, умение доносить security-требования на понятном языке
• Понимание принципов оценки рисков ИБ, умение приоритизировать по бизнес-импакту, а не только по CVSS
• Опыт координации или менторства AppSec-специалистов

БУДЕТ ПРЕИМУЩЕСТВОМ:

• Опыт в безопасности LLM/AI-приложений: OWASP Top 10 for LLM Applications, тестирование prompt injection, red teaming языковых моделей, понимание рисков RAG-пайплайнов и агентов с tool use
• Опыт пентеста мобильных приложений с Frida, objection, jadx, MobSF
• Навыки автоматизации на Python: скрипты для security tooling, парсинг результатов сканирований, интеграции
• Опыт построения программы Security Champions
• Знание стандартов PCI DSS, 152-ФЗ, ISO 27001 в контексте требований к разработке
• Опыт работы с vulnerability management платформами (DefectDojo, ARX ASPM)