Если информация в вакансии не соответствует действительности, или эта вакансия является мошенничеством, сообщите, пожалуйста, модератору, используя кнопку . Спасибо.
Уровень зарплаты: з.п. не указана
Требуемый опыт работы: Не указан
Вакансия: Ведущий инженер по безопасности приложений
Описание вакансии
Чем предстоит заниматься:
Проведение регулярного анализа безопасности приложений с помощью ручных и автоматизированных средств, выявление уязвимостей, составление отчетов и разработка рекомендаций для устранения уязвимостей;
Интегрирование мер безопасности в каждый этап жизненного цикла разработки (SDLC), включая проектирование, разработку, тестирование и развертывание;
Проведение статического (SAST) и динамического (DAST) для анализа кода и поведения приложений;
Автоматизация процессов тестирования безопасности с помощью инструментов и скриптов для ускорения выявления и устранения уязвимостей;
Проведение оценки безопасности сторонних библиотек, компонентов и сервисов, используемых в разработке приложений, для предотвращения возможных угроз;
Анализ артефактов с автоматизированных средств тестирования информационной безопасности;
Взаимодействие с командой разработки для устранения уязвимостей, внедрения исправлений и улучшений безопасности;
Обеспечение соблюдения внутренних и внешних стандартов безопасности, таких как ГОСТ Р 56939-2024, OWASP, NIST и поддерживание соответствия требованиям внутренних нормативных документов и регуляторов ФСТЭК;
Внедрение процессов и методик безопасного программирования (Secure Coding) для команд разработки;
Ведение отчетности и информирование руководства о состоянии безопасности приложений, выявленных угрозах, результатах тестирования и принимаемых мерах;
Анализ текущих и новых угроз, отслеживание трендов в сфере кибербезопасности и предложение проактивных мер защиты для проектов;
Участие в расследовании инцидентов, связанных с курируемыми продуктами/проектами.
Наши требования:
Глубокое понимание киберугроз и уязвимостей приложений (SQL Injection, XSS, CSRF, XXE и др.) и методов их предотвращения;
Знание ключевых стандартов безопасности, таких как OWASP Top 10, CWE/SANS Top 25, моделей угроз и методологий, например STRIDE;
Знание методов статического (SAST), динамического (DAST) и интерактивного анализа (IAST) безопасности и инструментов для их реализации;
Опыт работы с инструментами анализа безопасности, такими как Burp Suite, OWASP ZAP, Solar App-screener, PTAI, BlackBox и др;
Знание процессов CI/CD и принципов интеграции мер безопасности на каждом этапе разработки;
Знание стандартов и требований безопасности для соблюдения регуляторных норм (ГОСТ Р 56939-2024, GDPR, PCI DSS, HIPAA, ISO 27001 и др.).;
Умение проводить статический, динамический и интерактивный анализ кода и конфигураций для обнаружения уязвимостей;
Опыт работы с инструментами анализа безопасности и настройки их под конкретные задачи и приложения;
Навыки внедрения мер безопасности в процессы разработки и CI/CD с учетом AppSec и DevSecOps принципов;
Опыт автоматизации задач безопасности, например, написание скриптов для мониторинга и автоматического тестирования;
Знание языков программирования (например, Python, Java, JavaScript, C#) и принципов безопасного программирования (Secure Coding);
Применение методов защиты кода, таких как шифрование, управление доступом и контроль целостности данных;
Опыт проведения аудитов безопасности, анализа рисков и тестирования на проникновение для выявления потенциальных уязвимостей;
Умение создавать и вести документацию по процессам безопасности, инцидентам и мерам реагирования;
Способность выявлять уязвимости, оценивать риски и разрабатывать меры для их минимизации;
Опыт тестирования Android/iOS приложений (знание MASTG);
Опыт работы с Docker и Kubernetes.
Условия:
Оформление по ТК РФ с официальной заработной платой;
График работы: 5/2, с 9:00 до 18:15 (в пятницу до 17:00), гибридный / удаленный формат работы;
Возможность обучаться и сертифицироваться за счёт компании: внешние тренинги и семинары по профессиональным тематикам, отраслевые конференции, программа развития управленческих навыков, очные мастер-классы, платформы онлайн-образования и многое другое;
Развитая система компенсаций и льгот;
Широкий пакет ДМС (включая выезд за рубеж и стоматологию);
Страхование жизни и здоровья;
Скидки в магазинах сети Х5 ( Пятёрочка , Перекрёсток и т.д.);
Программа привилегий Prime-zone (скидки на товары и услуги и специальные предложения от компаний-партнёров);
Материальная помощь сотрудникам, попавшим в сложную жизненную ситуацию.