Application security engineer (удаленная работа)

Вакансия: Application security engineer

Описание вакансии

Avosend международная финтех-компания, которая стремится изменить представление о денежных переводах, сделать их простыми, быстрыми и удобными. Сервис Avosend работает в 30+ странах и позволяет переводить деньги из России за рубеж в местной валюте, а также отправлять переводы для получения наличными.

Чем предстоит заниматься:

• Построение процессов ИБ совместно с командами разработки, ИБ, QA и DevOps;
• Взаимодействие с командами по вопросам использования инструментария информационной безопасности, управления уязвимостями, общим вопросам ИБ;
• Сопровождение продуктовых задач на всех этапах цикла релиза;
• Участие в процессе code-review и продчек тестировании с целью выявления потенциальных уязвимостей;
• Интеграция проверок по ИБ в pipeline команд;
• Управление секретами (искать секреты в git e, реализации безопасных интеграций, маскировать секреты в CI/CD).

Что мы ожидаем от вас:

• Опыт работы от 3 лет на аналогичной должности;
• Знание основных подходов и практик DevSecOps/AppSec, опыт работы со инструментами анализа (SAST, SCA, DAST), включая интеграцию инструментов в CI/CD;
• Понимание принципов работы современных веб-приложений и их защиты;
• Знание векторов атак современных приложений (веб, мобильные), методов обхода защиты на уровне приложений и применяемых мер защиты;
• Знание методов устранения распространенных уязвимостей и безопасной разработки;
• Практический опыт проведения анализа безопасности веб-приложений (черный/серый/белый ящик), умение эксплуатировать найденные уязвимости;
• Понимание сетевых протоколов и их настройка с точки зрения организации безопасного доступа к инфраструктуре. Понимание работы HTTPS и сетевых сертификатов.

Будет преимуществом:

• Понимание принципов маскирования данных для соответствия комплаенсу и концепции zero trust;
• Знание систем регистрации/авторизации/аутентификации и их настройки (например keycloak как самого распространенного)
• Умение разбираться и писать код на java/kotlin (в т.ч. работа с библиотеками bouncycastle, криптопро).

Мы предлагаем:

• Непростые, но интересные задачи;

• Аккредитованная ИТ-компания;
• Гибридный или удаленный формат работы;
• Корпоративные скидки BestBenefits (800+ магазинов и онлайн-сервисов);
• Бесплатные курсы английского языка от компании.