Руководитель направления Application Security
29 Июня 2026
Город:
Москва
Занятость:
Полная занятость
Компания "Банк ДОМ.РФ"
ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ:
- Построение и развитие SSDLC: внедрение security gates в CI/CD pipeline, настройка и оптимизация SAST, DAST, SCA/OSA, снижение false positives до рабочего уровня
- Анализ результатов сканирований, триаж уязвимостей, формирование конкретных рекомендаций для разработчиков с описанием вектора атаки и предложениями по исправлению
- Приоритизация бэклога уязвимостей по реальному влиянию на бизнес, контроль SLA по устранению
- Разработка и актуализация стандартов и инструкций по безопасной разработке
- Проведение пентестов веб-сервисов и мобильных приложений
- Threat modeling: анализ бизнес-требований и ТЗ по доработкам, выявление рисков на этапе проектирования
- Security code review критичных компонентов
- Консультирование команд разработки по вопросам безопасного кода и архитектуры
- Участие в разборе инцидентов безопасности, связанных с уязвимостями приложений
- Взаимодействие с DevOps и платформенной командой при внедрении security gates в pipeline
- Формирование отчётности по состоянию защищённости приложений для руководства
НАШИ ПОЖЕЛАНИЯ К КАНДИДАТУ:
- Опыт в AppSec / практическом анализе защищённости от 3 лет
- Уверенная работа с инструментами SSDLC: SAST (PT AI, Semgrep), DAST (Burp Suite, OWASP ZAP), SCA/OSA (Dependency-Track, Grype). Плюсом будет умение тюнить правила и сработки разработчикам
- Глубокое знание OWASP Top 10, OWASP Mobile Top 10, CWE — умение объяснить вектор эксплуатации и предложить конкретное исправление
- Практический опыт внедрения SSDLC и security gates
- Понимание микросервисной архитектуры и безопасности Kubernetes: Pod Security Standards, NetworkPolicies, RBAC, безопасность Docker-образов
- Опыт взаимодействия с разработчиками и аналитиками, умение доносить требования безопасности на понятном языке
- Понимание принципов оценки рисков ИБ, умение приоритизировать по влиянию на бизнес, а не только по CVSS
- Опыт координации или наставничества AppSec-специалистов
БУДЕТ ПРЕИМУЩЕСТВОМ:
- Опыт в безопасности LLM/AI-приложений: OWASP Top 10 for LLM Applications, тестирование prompt injection, red teaming языковых моделей, понимание рисков RAG-пайплайнов и агентов с доступом к инструментам
- Опыт пентеста мобильных приложений с Frida, objection, jadx, MobSF
- Навыки автоматизации на Python: скрипты для security-тулинга, парсинг результатов сканирований, интеграции
- Опыт построения программы Security Champions
- Знание стандартов PCI DSS, 152-ФЗ, ISO 27001 в контексте требований к разработке
- Опыт работы с платформами управления уязвимостями (DefectDojo, ARX ASPM)
Зарегистрируйтесь или войдите, чтобы открыть контакты работодателя
Прикрепите резюме для отклика
Уже с нами?
Войдите, чтобы отправить резюме
24 Июня
Ведущий инженер (руководитель проекта)( Московский центр развития спортивной инфраструктуры )
Москва
от 156 000 руб.
Компания "Московский центр развития спортивной инфраструктуры" АНО «Московский центр развития спортивной инфраструктуры» создана в...
24 Июня
Москва
Компания "ТПС Недвижимость" ТПС Недвижимость - крупнейший собственник объектов торговой недвижимости. Основным направлением деятельности...
24 Июня
Руководитель проектного офиса( Корпорация ЭЛАР )
Москва
Компания "Корпорация ЭЛАР" Обязанности: Разработка методологии проектной деятельности. Управление проектами внедрения/развития ERP,...
24 Июня
Технический руководитель проекта
Москва
Компания "Корпорация ЭЛАР" Корпорация ЭЛАР ищет технического руководителя проекта (ведущего системного аналитика) в проект комплексной...
24 Июня
Архитектор ИБ (направление архитектуры безопасности приложений)
Москва
Компания "Росгосстрах" Обязанности: Проектирование технических решений по комплексной защите информационных систем, на основании требований...
Вакансия размещена в отрасли