AppSec-инженер в VK ID

Наша команда занимается обеспечением безопасности цифровых продуктов и сервисов, которые позволяют пользователям VK легко и безопасно взаимодействовать с экосистемой. Мы развиваем инструменты, которые обеспечивают защиту данных, предотвращают угрозы и укрепляют доверие пользователей к нашим сервисам.

В центре внимания — постоянное взаимодействие с разработчиками, тестировщиками, архитекторами и другими специалистами, чтобы интегрировать безопасность на всех этапах жизненного цикла продукта.

Задачи

• Анализ защищённости веб приложений/сервисов
• Анализ безопасности кода, бизнес-логики приложений
• Проведение security review спецификаций
• Разработка требований ИБ
• Моделирование угроз ИБ
• Консультирование разработчиков
• Разработка рекомендаций по безопасному программированию
• Триаж уязвимостей Bug Bounty
• Контроль устранения уязвимостей
• Внесение предложений по улучшению процессов обеспечения безопасности

Требования

• Опыт работы в Application Security — от двух лет
• Опыт поиска логических уязвимостей в веб-приложениях и сервисах
• Понимание протоколов аутентификации и авторизации
• Понимание векторов атак на клиентскую и серверную стороны интернет-сервисов
• Умение находить причины появления уязвимостей и планировать их устранение
• Опыт работы в команде и взаимодействия со смежными направлениями IT
• Знание микросервисной архитектуры и способов обеспечения безопасности в таких системах
• Опыт анализа защищённости веб-приложений с использованием методов Black Box, White Box и Grey Box
• Понимание концепции DevSecOps и интеграции безопасности в цикл SSDLC
• Умение читать и анализировать код на языке программирования (желательно Go или C)
• Знание Bash, Python или других средств автоматизации

Будет плюсом

• Знание векторов атак и методов защиты мобильных приложений Android и iOS
• Опыт поиска уязвимостей в рамках программ Bug Bounty или регистрации CVE
• Участие в соревнованиях по информационной безопасности (CTF)
• Опыт выступлений на профильных конференциях или публикаций статей по теме
• Наличие сертификатов в области безопасности (например, OSCP, OSWE)