1. Войти
  2. Разместить резюме

AppSec Engineer в MAX

По договоренности

company logoVK
Откликнуться на hh.ru

Мы разрабатываем крупнейший мессенджер в России, чтобы соединять людей, сервисы и компании. Наша миссия — создавать простые и удобные инструменты коммуникации.

Ищем в команду опытного инженера Application Security для поддержки и развития процессов безопасной разработки.

Задачи

  • Внедрение и развитие процессов Security SDLC: интеграция проверок безопасности на всех этапах разработки — от проектирования (Security Champions, threat modeling) до запуска в продакшен
  • Пентест и исследования: проведение ручного тестирования безопасности веб-приложений, мобильных приложений и API; участие в программах Bug Bounty
  • Работа со статическим и динамическим анализом кода (SAST/DAST): использование автоматизированных инструментов сканирования, триаж и написание рекомендаций по устранению
  • Код-ревью: проведение экспертного анализа исходного кода на предмет уязвимостей (OWASP Top 10, CWE)
  • Консультирование команд: тесная работа с разработчиками, архитекторами и DevOps-инженерами. Объяснение уязвимостей, помощь в поиске лучших способов их устранения, проведение воркшопов
  • Управление уязвимостями: классификация, приоритизация и контроль устранения найденных уязвимостей
  • Разработка безопасных стандартов: создание и внедрение чек-листов, гайдов и лучших практик (secure coding guidelines) для разработчиков

Требования

  • Опыт работы на позиции AppSec Engineer или пентестера веб-приложений от 2 лет
  • Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей
  • Опыт работы с одним или несколькими инструментами SAST, DAST, SCA (Burp Suite, OWASP ZAP и т. д.)
  • Умение читать и понимать код на одном различных ЯП, например на Python, Go, Java, Java Script
  • Знание основных протоколов и технологий: HTTP/HTTPS, SSL/TLS, REST API, JSON Web Tokens (JWT)
  • Понимание принципов работы современных CI/CD-систем (GitLab CI, GitHub Actions, Jenkins)
  • Понятно объяснять сложные концепции безопасности разработчикам
  • Стремление автоматизировать рутину и постоянно учиться новому

Будет плюсом

  • Опыт проведения threat modeling
  • Навыки в области облачной безопасности
  • Знание контейнеризации (Docker, Kubernetes) и принципов DevSecOps
  • Наличие публичных работ (статьи, доклады, выводы CVE) или участие в программах Bug Bounty и конференциях
  • Соответствующие сертификации: OSCP, OSWE, GWEB, CSSLP и др.
Поделиться:

Опубликована 24 дня назад

Откликнуться на hh.ru

Похожие вакансии

Application Security Engineer (Москва)
  • Полный день
  • Опыт от 3 лет
company logoЛеста Игры
  • Москва
5 минут назад
Senior QA инженер
268 000 - 313 000 ₽
  • Полный день
  • Опыт от 3 лет
company logoSminex
  • Москва
день назад
Legal Specialist
  • Частичная занятость
  • Опыт от 3 лет
company logoBrainpower Group
  • Москва
3 дня назад
Auto QA Engineer
  • Полный день
  • Опыт от 3 лет
company logoWILDBERRIES
  • Москва
2 дня назад
Mechanical engineer (ADAS)
  • Полный день
  • Опыт от 3 лет
company logoАтом
  • Москва
5 дней назад
Мы обрабатываем данные посетителей и используем куки в соответствии с политикой конфиденциальности.