Руководитель направления Application Security

29 Июня

Партнерские Вакансии

Город:

Москва

Занятость:

Полная занятость

Компания "Банк ДОМ.РФ"

ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ:

Безопасная разработка:
  • Построение и развитие SSDLC: внедрение security gates в CI/CD pipeline, настройка и оптимизация SAST, DAST, SCA/OSA, снижение false positives до рабочего уровня
  • Анализ результатов сканирований, триаж уязвимостей, формирование конкретных рекомендаций для разработчиков с описанием вектора атаки и предложениями по исправлению
  • Приоритизация бэклога уязвимостей по реальному влиянию на бизнес, контроль SLA по устранению
  • Разработка и актуализация стандартов и инструкций по безопасной разработке
Анализ защищённости:
  • Проведение пентестов веб-сервисов и мобильных приложений
  • Threat modeling: анализ бизнес-требований и ТЗ по доработкам, выявление рисков на этапе проектирования
  • Security code review критичных компонентов
​​​​​​Взаимодействие и экспертиза:
  • Консультирование команд разработки по вопросам безопасного кода и архитектуры
  • Участие в разборе инцидентов безопасности, связанных с уязвимостями приложений
  • Взаимодействие с DevOps и платформенной командой при внедрении security gates в pipeline
  • Формирование отчётности по состоянию защищённости приложений для руководства

НАШИ ПОЖЕЛАНИЯ К КАНДИДАТУ:

  • Опыт в AppSec / практическом анализе защищённости от 3 лет
  • Уверенная работа с инструментами SSDLC: SAST (PT AI, Semgrep), DAST (Burp Suite, OWASP ZAP), SCA/OSA (Dependency-Track, Grype). Плюсом будет умение тюнить правила и сработки разработчикам
  • Глубокое знание OWASP Top 10, OWASP Mobile Top 10, CWE — умение объяснить вектор эксплуатации и предложить конкретное исправление
  • Практический опыт внедрения SSDLC и security gates
  • Понимание микросервисной архитектуры и безопасности Kubernetes: Pod Security Standards, NetworkPolicies, RBAC, безопасность Docker-образов
  • Опыт взаимодействия с разработчиками и аналитиками, умение доносить требования безопасности на понятном языке
  • Понимание принципов оценки рисков ИБ, умение приоритизировать по влиянию на бизнес, а не только по CVSS
  • Опыт координации или наставничества AppSec-специалистов

БУДЕТ ПРЕИМУЩЕСТВОМ:

  • Опыт в безопасности LLM/AI-приложений: OWASP Top 10 for LLM Applications, тестирование prompt injection, red teaming языковых моделей, понимание рисков RAG-пайплайнов и агентов с доступом к инструментам
  • Опыт пентеста мобильных приложений с Frida, objection, jadx, MobSF
  • Навыки автоматизации на Python: скрипты для security-тулинга, парсинг результатов сканирований, интеграции
  • Опыт построения программы Security Champions
  • Знание стандартов PCI DSS, 152-ФЗ, ISO 27001 в контексте требований к разработке
  • Опыт работы с платформами управления уязвимостями (DefectDojo, ARX ASPM)

​​​​​​​

Похожие вакансии

24 Июня

Ведущий инженер (руководитель проекта)( Московский центр развития спортивной инфраструктуры )

Москва

от 156 000 руб.

Компания "Московский центр развития спортивной инфраструктуры" АНО «Московский центр развития спортивной инфраструктуры» создана в...

Отправить резюме подробнее

24 Июня

Application security эксперт

Москва

Компания "ТПС Недвижимость" ТПС Недвижимость - крупнейший собственник объектов торговой недвижимости. Основным направлением деятельности...

Отправить резюме подробнее

24 Июня

Руководитель проектного офиса( Корпорация ЭЛАР )

Москва

Компания "Корпорация ЭЛАР" Обязанности: Разработка методологии проектной деятельности. Управление проектами внедрения/развития ERP,...

Отправить резюме подробнее

24 Июня

Технический руководитель проекта

Москва

Компания "Корпорация ЭЛАР" Корпорация ЭЛАР ищет технического руководителя проекта (ведущего системного аналитика) в проект комплексной...

Отправить резюме подробнее

24 Июня

Архитектор ИБ (направление архитектуры безопасности приложений)

Москва

Компания "Росгосстрах" Обязанности: Проектирование технических решений по комплексной защите информационных систем, на основании требований...

Отправить резюме подробнее

Вакансия размещена в отрасли

Информационные технологии / IT / Интернет: