AppSec-инженер в MAX

28 Февраля 2026

Mail.ru Group

Город:

Москва

Занятость:

Полная занятость

Откликнуться

Компания "Mail.ru Group"

Мы разрабатываем крупнейший мессенджер в России, чтобы соединять людей, сервисы и компании. Наша миссия — создавать простые и удобные инструменты коммуникации.

Ищем в команду опытного инженера Application Security для поддержки и развития процессов безопасной разработки.

Задачи

Внедрение и развитие процессов Security SDLC: интеграция проверок безопасности на всех этапах разработки — от проектирования (Security Champions, threat modeling) до запуска в продакшен
Пентест и исследования: проведение ручного тестирования безопасности веб-приложений, мобильных приложений и API; участие в программах Bug Bounty
Работа со статическим и динамическим анализом кода (SAST/DAST): использование автоматизированных инструментов сканирования, триаж и написание рекомендаций по устранению
Код-ревью: проведение экспертного анализа исходного кода на предмет уязвимостей (OWASP Top 10, CWE)
Консультирование команд: тесная работа с разработчиками, архитекторами и DevOps-инженерами. Объяснение уязвимостей, помощь в поиске лучших способов их устранения, проведение воркшопов
Управление уязвимостями: классификация, приоритизация и контроль устранения найденных уязвимостей
Разработка безопасных стандартов: создание и внедрение чек-листов, гайдов и лучших практик (secure coding guidelines) для разработчиков

Требования

Опыт работы на позиции AppSec Engineer или пентестера веб-приложений от двух лет
Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей
Опыт работы с одним или несколькими инструментами SAST, DAST, SCA (Burp Suite, OWASP ZAP и т. д.)
Умение читать и понимать код на одном из языков программирования, например на Python, Go, Java, JavaScript
Знание основных протоколов и технологий: HTTP/HTTPS, SSL/TLS, REST API, JSON Web Tokens (JWT)
Понимание принципов работы современных CI/CD-систем (GitLab CI, GitHub Actions, Jenkins)
Понятно объяснять сложные концепции безопасности разработчикам
Стремление автоматизировать рутину и постоянно учиться новому

Будет плюсом

Опыт проведения threat modeling
Навыки в области облачной безопасности
Знание контейнеризации (Docker, Kubernetes) и принципов DevSecOps
Наличие публичных работ (статьи, доклады, выводы CVE) или участие в программах Bug Bounty и конференциях
Соответствующие сертификации: OSCP, OSWE, GWEB, CSSLP и другие

Открыть контакты работодателя

Зарегистрируйтесь или войдите, чтобы открыть контакты работодателя

Прикрепите резюме для отклика

Загрузите файл с резюме
до 5 Mb .doc, .docx, .pdf

Создать профессиональное резюме

ОТПРАВИТЬ РЕЗЮМЕ

Уже с нами?
Войдите, чтобы отправить резюме

Похожие вакансии

23 Февраля

Сервисный инженер( Alter Turbo )

Москва

от 500 000 руб.