Компания "Ростелеком-Солар"
Мы ищем опытного Senior AppSec Engineer, который возьмёт на себя ответственность за безопасность наших приложений и архитектур. Вы станете ключевым звеном в интеграции безопасной разработки (Secure SDLC) в наш процесс, будете работать бок о бок с разработчиками, DevOps и архитекторами, обеспечивая защиту на всех этапах - от проектирования до эксплуатации.
Чем предстоит заниматься:
- Разработка и внедрение стратегии безопасности приложений (AppSec) в рамках производственного подразделения компании;
- Проведение анализа угроз (threat modeling) на этапе проектирования архитектуры;
- Выявление, анализ и приоритизация уязвимостей в ПО;
- Проведение ручного и автоматизированного тестирования на проникновение (penetration testing), включая SAST, DAST, SCA и IAST;
- Интеграция инструментов безопасности в CI/CD-пайплайны (GitLab CI, Jenkins);
- Обучение и консультирование команд разработчиков по вопросам безопасного кодирования;
- Разработка и поддержка security guidelines, secure coding standards и security checklists;
- Участие в расследовании инцидентов информационной безопасности, связанных с приложениями;
- Взаимодействие с группой сертификации по подготовке необходимой документации для получения сертификатов на ПО;
- Мониторинг и реагирование на уязвимости в сторонних компонентах и зависимостях (SBOM, управление уязвимостями);
- Точка контакта с регуляторами по вопросам практической безопасности;
- Синхронизация требования ФСТЭК и лаборатории с реальными Dev-процессами;
- Помощь командам проходить сертификационные проверки без боли.
Наши ожидания:
- Опыт работы в информационной безопасности, сфокусированный на безопасности приложений от 5 лет;
- Глубокое понимание OWASP Top 10, CWE/SANS Top 25, NIST SP 800-53 и других стандартов безопасности;
- Знание нормативно-правовой базы в области ИБ РФ;
- Опыт работы с лабораториями сертификации и ФСТЭК;
- Опыт настройки и эксплуатации инструментов:
- SAST: SonarQube и др;
- DAST: OWASP ZAP, Acunetix;
- SCA: Snyk, Dependency-Check;
- IaC Security: Terrascan.
- Умение читать и анализировать код на языках: Java, Python, JavaScript/TypeScript, Scala (минимум 2 из перечисленных);
- Опыт внедрения безопасного SDLC и DevSecOps практик;
- Знание протоколов аутентификации и авторизации (OAuth2, OpenID Connect, SAML);
- Понимание принципов криптографии и её применения в приложениях;
- Английский язык - Upper-Intermediate и выше (чтение документации, участие в международных совещаниях);
- Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике.
Будет плюсом: - Опыт работы с AI инструментами;
- Сертификации: OSCP, OSWE, CISSP, CISA, GWAPT, CSSLP;
- Опыт в red team / purple team;
- Участие в bug bounty программах;
- Опыт работы в регулируемых отраслях (ИБ, финансы, медицина, e-commerce);
- Знание DevOps-инструментов: Terraform, Ansible, ArgoCD.
Условия:
- Официальное оформление в аккредитованную ИТ-компанию;
- Конкурентный оклад, премии по результатам работы;
- Возможность работать над передовыми продуктами в сфере кибербезопасности;
- Автономность работы, возможность менять правила, ошибаться и создавать новое;
- Сильная команда экспертов, которые всегда готовы помочь и поделиться знаниями;
- Перспективы для профессионального и карьерного продвижения;
- Корпоративные мероприятия, путешествия, спортивные активности онлайн и оффлайн (онлайн-марафоны, бег, йога, волейбол, лыжи, и др.);
Социальный пакет - ДМС со стоматологией в лучших клиниках России, возможность подключить родственников по корпоративным ценам;
- Доплата больничных и отпусков до 100% от оклада (28 дней в году), 10 оплачиваемых day-off на случай форс-мажора;
- Возможность бесплатного обучения: внешние обучения, профильные конференции, а также наши внутренние курсы и электронная корпоративная библиотека с сотнями книг;
- Скидки от компаний-партнеров: спорт, английский, психолог, интернет и многое другое;
- Материальная помощь при важных событиях в жизни (заключение брака, рождение детей и другое);
- Удаленный формат работы, современный офис или гибрид.