Application Security engineer (удаленная работа)

Вакансия: Application Security engineer

Описание вакансии

Наш клиент в поисках AppSec инженера.

С чем предстоит работать:

• Анализ и тестирование безопасности приложений на предмет выявления уязвимостей;
• Разработка и внедрение мер безопасности при разработке и эксплуатации приложений;
• Проведение регулярных аудитов кода и архитектуры приложений на предмет соответствия стандартам безопасности;
• Разработка и внедрение планов по обеспечению безопасности приложений в сотрудничестве с командами разработки;
• Мониторинг новых угроз и уязвимостей, а также предложение мер по их предотвращению;
• Проведение обучающих мероприятий для разработчиков и персонала компании по вопросам безопасности приложений.

Здорово, если у тебя есть:

• Опыт работы в области безопасности приложений от 3 лет;
• Глубокие знания в области безопасности приложений, OWASP Top 10 и др;
• Опыт анализа безопасности кода и архитектуры приложений;
• Знание языков программирования (PHP, Python, Go, Java, Kotlin, C#) и технологий разработки и фреймворков на их основе;
• Опыт работы с инструментами тестирования безопасности приложений, такими как Burp Suite, OWASP ZAP и другими;
• Навыки анализа результатов сканирования уязвимостей и разработки рекомендаций по их устранению;
• Хорошие коммуникативные навыки, способность объяснять сложные концепции безопасности членам команды разработки;
• Способность работать в команде и эффективно координировать усилия по устранению уязвимостей.

Дополнительные технические требования:

• Глубокое понимание архитектуры веб-приложений: Понимание клиент-серверных взаимодействий, обработки запросов, аутентификации, авторизации и управления сеансами;
• Знание методов и техник аутентификации и авторизации: OAuth, JWT, OpenID Connect и другие протоколы;
• Знание принципов разработки безопасного кода и аудита безопасности кода: Понимание обработки ввода, экранирования, SQL-инъекций, уязвимостей XSS, и CSRF;
• Опыт анализа мобильных приложений: Знание методов анализа безопасности Android и iOS приложений;
• Понимание принципов и технологий облачных вычислений: AWS, Azure, Google Cloud;
• Знание и понимание принципов криптографии: Асимметричные и симметричные алгоритмы, цифровые подписи, хэширование.

Популярные инструменты и технологии:

Burp Suite: Интегрированная платформа для тестирования безопасности веб-приложений, включая сканирование уязвимостей, анализ трафика и эксплуатацию уязвимостей.
OWASP ZAP (Zed Attack Proxy): Инструмент для тестирования безопасности веб-приложений с акцентом на защиту от атак OWASP Top 10.
Veracode: Инструмент для статического и динамического анализа безопасности кода.
Checkmarx: Инструмент для статического анализа кода с акцентом на безопасность.
Python: Для автоматизации задач, разработки скриптов и создания собственных инструментов.
Bash scripting: Для автоматизации процессов и выполнения задач в ОС.
PHP, Go, java, Kotlin, C#: Знание этих языков может быть полезно для анализа и разработки безопасных приложений и компонентов.

Для тебя :

• Дружная команда крутых специалистов и максимально комфортная рабочая атмосфера;
• Полностью оборудованное рабочее место;
• Офис в бизнес-центре класса А или возможность удаленной работы;
• Гибкое начало рабочего дня (с 9 до 12);
• Сокращенный рабочий день (7 часов);
• Частичная компенсация занятий в фитнес-зале и английского языка;
• Корпоративная библиотека;