Вакансия: Application security engineer
Описание вакансии
Avosend международная финтех-компания, которая стремится изменить представление о денежных переводах, сделать их простыми, быстрыми и удобными. Сервис Avosend работает в 30+ странах и позволяет переводить деньги из России за рубеж в местной валюте, а также отправлять переводы для получения наличными.
Чем предстоит заниматься:
- Построение процессов ИБ совместно с командами разработки, ИБ, QA и DevOps;
- Взаимодействие с командами по вопросам использования инструментария информационной безопасности, управления уязвимостями, общим вопросам ИБ;
- Сопровождение продуктовых задач на всех этапах цикла релиза;
- Участие в процессе code-review и продчек тестировании с целью выявления потенциальных уязвимостей;
- Интеграция проверок по ИБ в pipeline команд;
- Управление секретами (искать секреты в git e, реализации безопасных интеграций, маскировать секреты в CI/CD).
Что мы ожидаем от вас:
- Опыт работы от 3 лет на аналогичной должности;
- Знание основных подходов и практик DevSecOps/AppSec, опыт работы со инструментами анализа (SAST, SCA, DAST), включая интеграцию инструментов в CI/CD;
- Понимание принципов работы современных веб-приложений и их защиты;
- Знание векторов атак современных приложений (веб, мобильные), методов обхода защиты на уровне приложений и применяемых мер защиты;
- Знание методов устранения распространенных уязвимостей и безопасной разработки;
- Практический опыт проведения анализа безопасности веб-приложений (черный/серый/белый ящик), умение эксплуатировать найденные уязвимости;
- Понимание сетевых протоколов и их настройка с точки зрения организации безопасного доступа к инфраструктуре. Понимание работы HTTPS и сетевых сертификатов.
Будет преимуществом:
- Понимание принципов маскирования данных для соответствия комплаенсу и концепции zero trust;
- Знание систем регистрации/авторизации/аутентификации и их настройки (например keycloak как самого распространенного)
- Умение разбираться и писать код на java/kotlin (в т.ч. работа с библиотеками bouncycastle, криптопро).
Мы предлагаем: