Детали вакансии

Старший инженер AppSec в компанию WMX. Локация: Москва. Зарплата обсуждается на собеседовании.

Погружаться в архитектуру, бизнес-логику и технологический стек продуктов компании, выступать экспертной точкой по вопросам безопасности приложений; Проводить анализ защищенности приложений и сервисов на этапах проектирования, разработки и сопровождения; Выявлять уязвимости и недостатки бизнес-логики, предлагать варианты устранения и сопровождать внедрение решений; Проводить threat modeling для новых и уже существующих систем, оценивать риски и определять меры защиты; Выполнять архитектурное ревью безопасности, формировать рекомендации по безопасной архитектуре и сопровождать их реализацию; Организовывать и развивать практики и процессы Secure SDLC / DevSecOps, формировать стратегию развития; направления AppSec, координировать защиту продуктов и представлять направление во взаимодействии с руководством, аудиторами и регуляторами; Выбирать, внедрять и развивать инструменты защиты кода и приложений, встраивать их в CI/CD и процессы разработки; Организовывать и совершенствовать процессы управления уязвимостями, приоритизации и контроля устранения недостатков безопасности; Разрабатывать нормативную, методическую и рабочую документацию по безопасной разработке; Транслировать регуляторные и комплаенс-требования в конкретные технические меры и требования к продуктам и процессам; Участвовать в аудитах, проверках, сертификационных активностях и расследовании инцидентов безопасности при необходимости; Взаимодействовать с командами разработки, DevOps, архитекторами, продуктовыми командами и другими заинтересованными сторонами.

Опыт работы в AppSec / Product Security / DevSecOps на уровне senior; Глубокое понимание архитектуры приложений, API, микросервисов и типовых рисков безопасности современных систем; Хорошее знание OWASP Top 10, OWASP API Top 10, CWE и практический опыт применения этих знаний; Опыт анализа защищенности бизнес-логики, проведения Security by Design и архитектурного ревью; Практический опыт threat modeling с использованием STRIDE, PASTA, Attack Trees или аналогичных подходов; Опыт работы с SAST, DAST, SCA, fuzzing и другими инструментами AppSec, понимание их ограничений и сценариев применения; Опыт внедрения и развития процессов Secure SDLC / DevSecOps и интеграции проверок безопасности в CI/CD; Опыт выстраивания процессов управления уязвимостями и взаимодействия с командами разработки по их устранению; Знание требований ФСТЭК, 152-ФЗ и других применимых регуляторных требований в части безопасной разработки ПО; Опыт подготовки документации, участия в аудитах, проверках и сертификационных мероприятиях; Навыки программирования на Python, Go, Ruby или аналогичном языке для автоматизации и разработки внутренних AppSec-инструментов; Практический опыт работы с Linux, Git, GitLab, Docker, Kubernetes, Terraform/Ansible, Vault, облачной и сетевой инфраструктурой будет преимуществом; Опыт настройки логирования, анализа событий ИБ и участия в расследовании инцидентов безопасности; Умение четко доносить риски, рекомендации и обоснования до технических и нетехнических команд.