Application Security инженер.
Локация: #Москва (Можно работать удаленно).
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Ozon Банк.
Вам предстоит:
• Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта);
• Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков);
• Триажить уязвимости со всевозможных сканеров и багбаунти;
• Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых);
• Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной.
Вы подходите, если:
• Ориентируетесь в цикле безопасной разработки SSDLC;
• Занимались анализом защищённости веб и мобильных приложений;
• Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические);
• Умеете обращаться с популярными open source SAST, DAST, SCA инструментами;
• Внятно изъясняетесь на Bash, Python или Go, SQL.
👨🏻💻 Откликнуться.
#Удаленка #AppSec
Локация: #Москва (Можно работать удаленно).
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Ozon Банк.
Вам предстоит:
• Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта);
• Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков);
• Триажить уязвимости со всевозможных сканеров и багбаунти;
• Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых);
• Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной.
Вы подходите, если:
• Ориентируетесь в цикле безопасной разработки SSDLC;
• Занимались анализом защищённости веб и мобильных приложений;
• Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические);
• Умеете обращаться с популярными open source SAST, DAST, SCA инструментами;
• Внятно изъясняетесь на Bash, Python или Go, SQL.
👨🏻💻 Откликнуться.
#Удаленка #AppSec
😁5👍2
Эксперт по безопасной разработке (Application Security).
Локация: #Москва (Удаленная работа).
Опыт: 3–6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Ростелеком.
Обязанности:
• Организация практики безопасной разработки – запуск процессов на небольших проектах и масштабирование на системы федерального значения;
• Разработка и контроль реализации требований и метрик безопасной разработки;
• Участие в организации процессов продуктовой безопасности, взаимодействие с командами разработки и контроля качества, архитекторами и менеджерами продуктов. Подготовка Security Champions в командах разработки;
• Работа с инструментами статического анализа кода (SAST), контроля open source компонент (OSA/SCA) и динамического анализа приложений (DAST);
• Разбор результатов анализа SAST/SCA/DAST;
• Анализ выявленных дефектов, проверка, приоритизация, поиск решения для их устранения.
Требования:
• Отраслевой опыт в сфере Application Security на позиции эксперта;
• Опыт работы с продуктами по статическому и динамическому анализу;
• Знание методологий организации безопасной разработки (BSIMM, OWASP SAMM);
• Умение читать и разбираться в чужом коде на различных языках программирования;
• Уверенные знания по архитектуре современных информационных систем (контейнеризация, обработка и хранение данных, межсистемное взаимодействие).
👨🏻💻 Откликнуться.
#Удаленка #AppSec
Локация: #Москва (Удаленная работа).
Опыт: 3–6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Ростелеком.
Обязанности:
• Организация практики безопасной разработки – запуск процессов на небольших проектах и масштабирование на системы федерального значения;
• Разработка и контроль реализации требований и метрик безопасной разработки;
• Участие в организации процессов продуктовой безопасности, взаимодействие с командами разработки и контроля качества, архитекторами и менеджерами продуктов. Подготовка Security Champions в командах разработки;
• Работа с инструментами статического анализа кода (SAST), контроля open source компонент (OSA/SCA) и динамического анализа приложений (DAST);
• Разбор результатов анализа SAST/SCA/DAST;
• Анализ выявленных дефектов, проверка, приоритизация, поиск решения для их устранения.
Требования:
• Отраслевой опыт в сфере Application Security на позиции эксперта;
• Опыт работы с продуктами по статическому и динамическому анализу;
• Знание методологий организации безопасной разработки (BSIMM, OWASP SAMM);
• Умение читать и разбираться в чужом коде на различных языках программирования;
• Уверенные знания по архитектуре современных информационных систем (контейнеризация, обработка и хранение данных, межсистемное взаимодействие).
👨🏻💻 Откликнуться.
#Удаленка #AppSec
👍2
AppSec инженер (Container Security).
Локация: #Москва (Можно работать удаленно).
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Swordfish Security.
Обязанности:
• Проведение установки и внедрения в процесс разработки решений по защите контейнеров и оркестраторов в инфраструктуре клиента;
• Проведение демонстраций решений по защите контейнеров и оркестраторов клиентам;
• Консультирование команд сопровождения клиента по техническим вопросам установки, настройки и эксплуатации решений по защите контейнеров и оркестраторов;
• Проведение сравнительного анализа решений по защите контейнеров и оркестраторов;
• Анализ отчетов, полученных от инструментальных средств, с целью консультации инженерных команд для повышения уровня защищенности;
• Анализ накопленного опыта по внедрению и исследованиям, взаимодействие с аналитиками и разработчиками внутренних решений для их дальнейшего развития;
• Разработка технической документации и проведение консультаций по техническим вопросам команды аудиторов.
Требования:
• Знание Linux на уровне администратора;
• Уверенное владение docker, docker-compose(scratch, multi-stage build);
• Уверенное владение Kubernetes(ingress, storage classes, operators, PSS);
• Опыт написания скриптов на bash/python;
• Хорошее знание сетевых технологий и протоколов, понимание принципов конфигурирования локальных сетей (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов);
• Хорошее понимание проблематики безопасности контейнеров и знание типовых решений;
• Хорошее понимание принципов и механизмов контейнеризации в Linux;
• Английский язык (чтение технической литературы).
👨🏻💻 Откликнуться.
#Удаленка #AppSec
Локация: #Москва (Можно работать удаленно).
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Swordfish Security.
Обязанности:
• Проведение установки и внедрения в процесс разработки решений по защите контейнеров и оркестраторов в инфраструктуре клиента;
• Проведение демонстраций решений по защите контейнеров и оркестраторов клиентам;
• Консультирование команд сопровождения клиента по техническим вопросам установки, настройки и эксплуатации решений по защите контейнеров и оркестраторов;
• Проведение сравнительного анализа решений по защите контейнеров и оркестраторов;
• Анализ отчетов, полученных от инструментальных средств, с целью консультации инженерных команд для повышения уровня защищенности;
• Анализ накопленного опыта по внедрению и исследованиям, взаимодействие с аналитиками и разработчиками внутренних решений для их дальнейшего развития;
• Разработка технической документации и проведение консультаций по техническим вопросам команды аудиторов.
Требования:
• Знание Linux на уровне администратора;
• Уверенное владение docker, docker-compose(scratch, multi-stage build);
• Уверенное владение Kubernetes(ingress, storage classes, operators, PSS);
• Опыт написания скриптов на bash/python;
• Хорошее знание сетевых технологий и протоколов, понимание принципов конфигурирования локальных сетей (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов);
• Хорошее понимание проблематики безопасности контейнеров и знание типовых решений;
• Хорошее понимание принципов и механизмов контейнеризации в Linux;
• Английский язык (чтение технической литературы).
👨🏻💻 Откликнуться.
#Удаленка #AppSec
👍5
Инженер/AppSec.
Локация: #Москва.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: BI.ZONE.
Обязанности:
• Проведение испытаний изделий на соответствие требованиям нормативных документов по информационной безопасности ФСТЭК России (SAST, SCA, DAST, сборка);
• Анализ технической документации на программные и технические средства защиты информации;
• Подготовка к тестированию программных и технических средств защиты информации, включая разработку плана тестирования, детальных описаний тестов и настройку тестовой среды;
• Проведение тестирования программного изделия и оформление отчетной документации по его результатам.
Требования:
• Знания в области архитектуры и принципов функционирования операционных систем (Windows, Linux), общесистемного и прикладного программного обеспечения;
• Наличие общих знаний в области сетевых технологий (стек TCP\IP);
• Опыт использования командной строки в Unix системах (знание основных команд, свободное перемещение в файловой системе);
• Знание одного или нескольких языков программирования (С++ и Python);
• Понимание основных принципов сертификации ФСТЭК России;
• Знание руководящих документов ФСТЭК России и понимание их требований;
• Знание инструментов SonarQube, Svacer, DependencyTrack, AFL++.
👨🏻💻 Откликнуться.
#Офис #AppSec
Локация: #Москва.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: BI.ZONE.
Обязанности:
• Проведение испытаний изделий на соответствие требованиям нормативных документов по информационной безопасности ФСТЭК России (SAST, SCA, DAST, сборка);
• Анализ технической документации на программные и технические средства защиты информации;
• Подготовка к тестированию программных и технических средств защиты информации, включая разработку плана тестирования, детальных описаний тестов и настройку тестовой среды;
• Проведение тестирования программного изделия и оформление отчетной документации по его результатам.
Требования:
• Знания в области архитектуры и принципов функционирования операционных систем (Windows, Linux), общесистемного и прикладного программного обеспечения;
• Наличие общих знаний в области сетевых технологий (стек TCP\IP);
• Опыт использования командной строки в Unix системах (знание основных команд, свободное перемещение в файловой системе);
• Знание одного или нескольких языков программирования (С++ и Python);
• Понимание основных принципов сертификации ФСТЭК России;
• Знание руководящих документов ФСТЭК России и понимание их требований;
• Знание инструментов SonarQube, Svacer, DependencyTrack, AFL++.
👨🏻💻 Откликнуться.
#Офис #AppSec
👍7
AppSec Engineer.
Локация: #Новосибирск.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: UserGate.
Чем предстоит заниматься:
• Участвовать в построении Application Security процессов в компании;
• Участвовать во всех этапах процесса безопасной разработки приложений SSDLC, а также построения DevSecOps;
• Настраивать и интегрировать инструменты AppSec: SAST, SCA/OSA, DAST, Quality Gate, ASOC;
• Постоянно улучшать и развивать инструменты, внедрять новые решения и подходы;
• Взаимодействовать с командами DevOps и разработки для построения безопасных пайплайнов;
• Консультировать разработчиков.
Требования:
• Глубокое понимание цикла разработки ПО и методологии DevSecOps;
• Знание Bash, Python или любого другого средства скриптовой автоматизации;
• Опыт работы и внедрения SAST, DAST и SCA и прочих решений автоматизации Application Security процессов;
• Понимание архитектуры современных приложений и информационных систем;
• Знание лучших практик и способов разработки безопасных приложений;
• Умение читать код приложений на Erlang/Python/С/С++ и выявлять в нём уязвимости;
• Понимание архитектуры Linux систем и работы сетевой подсистемы;
• Опыт тестирования приложений и информационных систем на наличие уязвимостей.
👨🏻💻 Откликнуться.
#Офис #AppSec
Локация: #Новосибирск.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: UserGate.
Чем предстоит заниматься:
• Участвовать в построении Application Security процессов в компании;
• Участвовать во всех этапах процесса безопасной разработки приложений SSDLC, а также построения DevSecOps;
• Настраивать и интегрировать инструменты AppSec: SAST, SCA/OSA, DAST, Quality Gate, ASOC;
• Постоянно улучшать и развивать инструменты, внедрять новые решения и подходы;
• Взаимодействовать с командами DevOps и разработки для построения безопасных пайплайнов;
• Консультировать разработчиков.
Требования:
• Глубокое понимание цикла разработки ПО и методологии DevSecOps;
• Знание Bash, Python или любого другого средства скриптовой автоматизации;
• Опыт работы и внедрения SAST, DAST и SCA и прочих решений автоматизации Application Security процессов;
• Понимание архитектуры современных приложений и информационных систем;
• Знание лучших практик и способов разработки безопасных приложений;
• Умение читать код приложений на Erlang/Python/С/С++ и выявлять в нём уязвимости;
• Понимание архитектуры Linux систем и работы сетевой подсистемы;
• Опыт тестирования приложений и информационных систем на наличие уязвимостей.
👨🏻💻 Откликнуться.
#Офис #AppSec
🤮16🍌1
AppSec - Инженер.
Локация: Удаленная работа.
Опыт: Требования не указаны.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: ИТ-Холдинг Т1.
Обязанности:
• Настройка инструментов безопасной разработки (AppSec);
• Определение параметров автоматических проверок качества продукта для каждого этапа разработки;
• Разбор дефектов и уязвимостей (совместно с командой разработки) и помощь команде разработки в их устранении;
• Выявление уязвимостей и недостатков кода приложения (в большей мере).
Требования:
• Успешный опыт настройки инструментов безопасной разработки;
• Практический опыт разбора, валидация уязвимостей с выработкой достаточных мер (рекомендаций);
• Чтение и понимание кода на уровне достаточном для формирования рекомендаций;
• Опыт настройки и использования SAST, DAST инструментария.
👨🏻💻 Откликнуться.
#Удаленка #AppSec
Локация: Удаленная работа.
Опыт: Требования не указаны.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: ИТ-Холдинг Т1.
Обязанности:
• Настройка инструментов безопасной разработки (AppSec);
• Определение параметров автоматических проверок качества продукта для каждого этапа разработки;
• Разбор дефектов и уязвимостей (совместно с командой разработки) и помощь команде разработки в их устранении;
• Выявление уязвимостей и недостатков кода приложения (в большей мере).
Требования:
• Успешный опыт настройки инструментов безопасной разработки;
• Практический опыт разбора, валидация уязвимостей с выработкой достаточных мер (рекомендаций);
• Чтение и понимание кода на уровне достаточном для формирования рекомендаций;
• Опыт настройки и использования SAST, DAST инструментария.
👨🏻💻 Откликнуться.
#Удаленка #AppSec
👍7
Специалист по тестированию безопасности приложений (AppSec).
Локация: #Москва.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: ГК Астра.
Обязанности:
• Тестирование ПО (исходного и бинарного кода) на наличие программных дефектов и уязвимостей (SAST, DAST, IAST);
• Поиск и анализ уязвимостей, оценка защищенности: операционных систем (включая облачные и мобильные), протоколов связи, клиент-серверных приложений (в т.ч. web-приложений).
Требования:
• Высшее техническое образование;
• Опыт в тестировании безопасности приложений (SAST, DAST, IAST);
• Опыт в программировании: как в части понимания кода, так и решения задач автоматизации процессов исследований (C/C++, Python, bash);
• Опыт в администрировании: операционных систем (Linux, Windows), межсетевых экранов, систем обнаружения атак.
👨🏻💻 Откликнуться.
#Офис #AppSec
Локация: #Москва.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: ГК Астра.
Обязанности:
• Тестирование ПО (исходного и бинарного кода) на наличие программных дефектов и уязвимостей (SAST, DAST, IAST);
• Поиск и анализ уязвимостей, оценка защищенности: операционных систем (включая облачные и мобильные), протоколов связи, клиент-серверных приложений (в т.ч. web-приложений).
Требования:
• Высшее техническое образование;
• Опыт в тестировании безопасности приложений (SAST, DAST, IAST);
• Опыт в программировании: как в части понимания кода, так и решения задач автоматизации процессов исследований (C/C++, Python, bash);
• Опыт в администрировании: операционных систем (Linux, Windows), межсетевых экранов, систем обнаружения атак.
👨🏻💻 Откликнуться.
#Офис #AppSec
💩9❤5👍3
Инженер информационной безопасности/Application Security Engineer.
Локация: #Москва.
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Rambler&Co.
Обязанности:
• Участвовать во внедрении процесса Security Code Review с фокусом на OWASP TOP-10 (проверки безопасности кода);
• Проводить аудит существующих систем (с Whitebox при взаимодействии с контрагентами);
• Верхнеуровнево, на уровне роадмапа фич, участвовать в оценке и проведении ревью архитектуры систем и конкретных сервисов;
• Разработка security-политик (HSTS, CSP, rate limiting);
• Внедрение S-SDLC: от требований до релиза (улучшение и внедрение практик DevSecOps);
• Формирование стратегии по внедрению DevSecOps-процессов в новом продукте;
• Консультирование разработчиков по устранению выявленных уязвимостей;
• Взаимодействие с отделами эксплуатации для анализа/разработки сигнатур под актуальные атаки.
Требования:
• 3+ года hands-on опыта в AppSec;
• Знание архитектуры веб-приложений (HTTP, REST, сессии);
• Практические навыки в скриптовых языках для автоматизации (Python, JS, Bash);
• Понимание CI/CD и процессов разработки.
👨🏻💻 Откликнуться.
#Офис #AppSec
Локация: #Москва.
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Rambler&Co.
Обязанности:
• Участвовать во внедрении процесса Security Code Review с фокусом на OWASP TOP-10 (проверки безопасности кода);
• Проводить аудит существующих систем (с Whitebox при взаимодействии с контрагентами);
• Верхнеуровнево, на уровне роадмапа фич, участвовать в оценке и проведении ревью архитектуры систем и конкретных сервисов;
• Разработка security-политик (HSTS, CSP, rate limiting);
• Внедрение S-SDLC: от требований до релиза (улучшение и внедрение практик DevSecOps);
• Формирование стратегии по внедрению DevSecOps-процессов в новом продукте;
• Консультирование разработчиков по устранению выявленных уязвимостей;
• Взаимодействие с отделами эксплуатации для анализа/разработки сигнатур под актуальные атаки.
Требования:
• 3+ года hands-on опыта в AppSec;
• Знание архитектуры веб-приложений (HTTP, REST, сессии);
• Практические навыки в скриптовых языках для автоматизации (Python, JS, Bash);
• Понимание CI/CD и процессов разработки.
👨🏻💻 Откликнуться.
#Офис #AppSec
👍6💩2
Application security engineer / Инженер по информационной безопасности (AppSec).
Локация: #Москва (Можно работать удаленно).
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: YADRO.
Вам предстоит:
• Триажить уязвимости, полученные от различных инструментов тестирования (SAST, SCA, Secret Detection и пр.);
• Оценивать защищенность на основе моделей угроз;
• Выполнять адаптированные для продукта тестирования (фаззинг, сканирование портов и пр.);
• Исследовать новые векторы атак;
• Участвовать в тестировании на проникновение;
• Исследовать способы реализации функций безопасности (проведение PoC).
Требования:
• Опыт работы на аналогичной должности от 1 года;
• Навыки внедрения, как минимум 2х видов инструментария из SAST, SCA, DAST, fuzzing, secret detection, malware scanning и пр.;
• Умение проводить код-ревью;
• Навыки программирования (С++, Go, Bash);
• Опыт работы с системами/сервисами отслеживания багов (Jira или пр.).
👨🏻💻 Откликнуться.
#Удаленка #AppSec
Локация: #Москва (Можно работать удаленно).
Опыт: 3-6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: YADRO.
Вам предстоит:
• Триажить уязвимости, полученные от различных инструментов тестирования (SAST, SCA, Secret Detection и пр.);
• Оценивать защищенность на основе моделей угроз;
• Выполнять адаптированные для продукта тестирования (фаззинг, сканирование портов и пр.);
• Исследовать новые векторы атак;
• Участвовать в тестировании на проникновение;
• Исследовать способы реализации функций безопасности (проведение PoC).
Требования:
• Опыт работы на аналогичной должности от 1 года;
• Навыки внедрения, как минимум 2х видов инструментария из SAST, SCA, DAST, fuzzing, secret detection, malware scanning и пр.;
• Умение проводить код-ревью;
• Навыки программирования (С++, Go, Bash);
• Опыт работы с системами/сервисами отслеживания багов (Jira или пр.).
👨🏻💻 Откликнуться.
#Удаленка #AppSec
❤2👎2👍1
Ведущий AppSec-специалист.
Локация: #Москва.
Опыт: от 3-х лет.
Зарплата: 250 000 — 350 000 ₽.
Компания: Сбербанк Страхование.
Обязанности:
• Развитие процесса Secure Software Development Lifecycle (SSDLC);
• Пилотирование новых инструментов безопасности и поддержание актуальной внутренней базы знаний;
• Участие в архитектурных ревью, проведение консультаций и встреч с разработчиками по вопросам безопасности;
• Анализ результатов автоматических сканирований приложений и постановка задач по устранению найденных уязвимостей;
• Контроль исправления обнаруженных дефектов и слабых мест в продуктах;
• Проведение исследований и внедрение решений на основе больших языковых моделей (LLM), таких, как GigaChat, для улучшения цифровых продуктов Сбербанка.
Требования:
• Подтвержденный опыт успешной интеграции практик AppSec в крупные корпоративные проекты;
• Умение эффективно коммуницировать с IT-специалистами и представителями бизнеса, налаживая эффективное партнерство;
• Практическое владение инструментарием обеспечения безопасности приложений (клиентские инструменты, Enterprise-решения);
• Хорошее понимание методик ручного тестирования безопасности (Burp Suite, CAIDO и аналогичное ПО);
• Опыт анализа файлов зависимостей и манифестов (SBOM-файлы);
• Глубокое понимание принципов работы сетевых протоколов и способность выявлять потенциальные угрозы безопасности в веб-приложениях;
• Навык эффективного использования возможностей LLM для решения инженерно-исследовательских задач.
👨🏻💻 Откликнуться.
#Офис #AppSec
Локация: #Москва.
Опыт: от 3-х лет.
Зарплата: 250 000 — 350 000 ₽.
Компания: Сбербанк Страхование.
Обязанности:
• Развитие процесса Secure Software Development Lifecycle (SSDLC);
• Пилотирование новых инструментов безопасности и поддержание актуальной внутренней базы знаний;
• Участие в архитектурных ревью, проведение консультаций и встреч с разработчиками по вопросам безопасности;
• Анализ результатов автоматических сканирований приложений и постановка задач по устранению найденных уязвимостей;
• Контроль исправления обнаруженных дефектов и слабых мест в продуктах;
• Проведение исследований и внедрение решений на основе больших языковых моделей (LLM), таких, как GigaChat, для улучшения цифровых продуктов Сбербанка.
Требования:
• Подтвержденный опыт успешной интеграции практик AppSec в крупные корпоративные проекты;
• Умение эффективно коммуницировать с IT-специалистами и представителями бизнеса, налаживая эффективное партнерство;
• Практическое владение инструментарием обеспечения безопасности приложений (клиентские инструменты, Enterprise-решения);
• Хорошее понимание методик ручного тестирования безопасности (Burp Suite, CAIDO и аналогичное ПО);
• Опыт анализа файлов зависимостей и манифестов (SBOM-файлы);
• Глубокое понимание принципов работы сетевых протоколов и способность выявлять потенциальные угрозы безопасности в веб-приложениях;
• Навык эффективного использования возможностей LLM для решения инженерно-исследовательских задач.
👨🏻💻 Откликнуться.
#Офис #AppSec
🤮10💩4🤡3❤2👍2
Application Security Engineer.
Локация: Удаленная работа.
Уровень: Senior.
Зарплата: 4 000 — 6 000 €.
Компания: BrainRocket.
Responsibilities:
• Demonstrated ability to collaborate with other teams to achieve complex objectives.
• Responsible for security architecture design from cloud infrastructure to application through the implementation of "secure by design" principles.
• Collaborate with product managers, architects, and developers on the implementation of the security controls platform ecosystem and products.
• Proof security implementations within infrastructure and application deployment manifests and the CI/CD pipelines.
• Define required policies, controls, and capabilities for the protection of products and environments.
• Build and validate declarative threat models automation.
• Participate in engineering teams’ product planning cycles and committees.
• Oversee the product security aspects for migration of products and services from Data Center to public cloud, e.g., AWS.
• Serve as a trusted Cyber Security advisor to product and application teams.
Minimum requirements:
• Experience integrating security scanning/tooling into development pipeline.
• Experience in analyzing and securing microservices and applications developed using JavaScript and TypeScript.
• Experience with CI/CD pipelines (such as GitLab, Jenkins) and infrastructure-as-a-code models (such as Terraform, Helm, or CloudFormation).
• Hands-on development experience in Python/Shell scripting.
• Strong understanding of supply chain security, software integrity, and secure software delivery.
• Experience with docker and mesh technologies (such as ISTIO).
• Experience with architecture and security reviews, threat modeling and applications risk highly desired.
• Experience working with Agile-methodologies.
• Knowledge of privacy laws and regulations, such as GDPR desired.
• Familiarity with industry regulations, frameworks, and practices. For example, PCI, ISO 27001, NIST, etc.
• Preferred qualification.
• In-depth experience with architecting secure services on Kubernetes.
• Extensive experience with architecting secure services on AWS or on-prem data centres.
• Security-related professional certifications e.g., CISSP, CISM, CCSK, CCSP, CEH is highly desirable.
⚡️ Откликнуться.
#Удаленка #appsec
Локация: Удаленная работа.
Уровень: Senior.
Зарплата: 4 000 — 6 000 €.
Компания: BrainRocket.
Responsibilities:
• Demonstrated ability to collaborate with other teams to achieve complex objectives.
• Responsible for security architecture design from cloud infrastructure to application through the implementation of "secure by design" principles.
• Collaborate with product managers, architects, and developers on the implementation of the security controls platform ecosystem and products.
• Proof security implementations within infrastructure and application deployment manifests and the CI/CD pipelines.
• Define required policies, controls, and capabilities for the protection of products and environments.
• Build and validate declarative threat models automation.
• Participate in engineering teams’ product planning cycles and committees.
• Oversee the product security aspects for migration of products and services from Data Center to public cloud, e.g., AWS.
• Serve as a trusted Cyber Security advisor to product and application teams.
Minimum requirements:
• Experience integrating security scanning/tooling into development pipeline.
• Experience in analyzing and securing microservices and applications developed using JavaScript and TypeScript.
• Experience with CI/CD pipelines (such as GitLab, Jenkins) and infrastructure-as-a-code models (such as Terraform, Helm, or CloudFormation).
• Hands-on development experience in Python/Shell scripting.
• Strong understanding of supply chain security, software integrity, and secure software delivery.
• Experience with docker and mesh technologies (such as ISTIO).
• Experience with architecture and security reviews, threat modeling and applications risk highly desired.
• Experience working with Agile-methodologies.
• Knowledge of privacy laws and regulations, such as GDPR desired.
• Familiarity with industry regulations, frameworks, and practices. For example, PCI, ISO 27001, NIST, etc.
• Preferred qualification.
• In-depth experience with architecting secure services on Kubernetes.
• Extensive experience with architecting secure services on AWS or on-prem data centres.
• Security-related professional certifications e.g., CISSP, CISM, CCSK, CCSP, CEH is highly desirable.
#Удаленка #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
😨17❤9👍7🔥2😁2😱1
Application Security Engineer.
Локация: Удаленная работа.
Опыт: 3+ лет.
Зарплата: от 300 000 ₽.
Компания: Ozon Fintech.
Вам предстоит:
• Сопровождать разработку новых продуктов (вникать в бизнес-процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять, доехала ли безопасность до запуска продукта).
• Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков).
• Триажить уязвимости со всевозможных сканеров и багбаунти.
• Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых).
• Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной.
Вы подходите, если:
• Ориентируетесь в цикле безопасной разработки SSDLC.
• Занимались анализом защищённости веб и мобильных приложений.
• Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические).
• Умеете обращаться с популярными Open Source SAST-, DAST-, SCA-инструментами.
• Внятно изъясняетесь на Bash, Python или Go, SQL.
• Понимаете из чего состоят современные нагруженные веб-приложения.
• Ориентируетесь в K8s, CI/CD и работали над безопасностью в каких-то их вариантах.
• Отличаете cherry-pick от пуржа.
⚡ Откликнуться.
#Удаленка #appsec
Локация: Удаленная работа.
Опыт: 3+ лет.
Зарплата: от 300 000 ₽.
Компания: Ozon Fintech.
Вам предстоит:
• Сопровождать разработку новых продуктов (вникать в бизнес-процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять, доехала ли безопасность до запуска продукта).
• Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков).
• Триажить уязвимости со всевозможных сканеров и багбаунти.
• Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых).
• Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной.
Вы подходите, если:
• Ориентируетесь в цикле безопасной разработки SSDLC.
• Занимались анализом защищённости веб и мобильных приложений.
• Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические).
• Умеете обращаться с популярными Open Source SAST-, DAST-, SCA-инструментами.
• Внятно изъясняетесь на Bash, Python или Go, SQL.
• Понимаете из чего состоят современные нагруженные веб-приложения.
• Ориентируетесь в K8s, CI/CD и работали над безопасностью в каких-то их вариантах.
• Отличаете cherry-pick от пуржа.
#Удаленка #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4🤡3🤔1😢1
Аналитик по информационной безопасности (Application Security).
Локация: Удаленная работа.
Уровень: Middle.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Совкомбанк Технологии.
Задачи:
• Проводить анализ безопасности архитектуры приложений.
• Сортировать (триаж) уязвимости, найденные инструментами SSDLC.
• Писать proof-of-concept для критичных уязвимостей.
• Разрабатывать технические стандарты безопасной разработки.
• Повышать осведомленность, консультировать разработчиков в вопросах безопасной разработки и типовых уязвимостей.
• Соблюдать установленные KPI по обработке результатов от инструментов SSDLC.
Требования:
• Работа с любым из инструментов анализа безопасности приложений: SAST, DAST/Fuzzing, OSA/SCA, IAST.
• Верификация уязвимостей, их сортировка и приоритизация.
• Оценка угроз для веба и мобильных приложений, методы их устранения (OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, OWASP MASVS, MASTG или аналоги).
• Разработка моделей угроз (STRIDE, PASTA или аналоги).
• Реализация современных протоколов авторизации (SAML 2.0, OpenID Connect).
✈ Откликнуться.
#Удаленка #Appsec
Локация: Удаленная работа.
Уровень: Middle.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Совкомбанк Технологии.
Задачи:
• Проводить анализ безопасности архитектуры приложений.
• Сортировать (триаж) уязвимости, найденные инструментами SSDLC.
• Писать proof-of-concept для критичных уязвимостей.
• Разрабатывать технические стандарты безопасной разработки.
• Повышать осведомленность, консультировать разработчиков в вопросах безопасной разработки и типовых уязвимостей.
• Соблюдать установленные KPI по обработке результатов от инструментов SSDLC.
Требования:
• Работа с любым из инструментов анализа безопасности приложений: SAST, DAST/Fuzzing, OSA/SCA, IAST.
• Верификация уязвимостей, их сортировка и приоритизация.
• Оценка угроз для веба и мобильных приложений, методы их устранения (OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, OWASP MASVS, MASTG или аналоги).
• Разработка моделей угроз (STRIDE, PASTA или аналоги).
• Реализация современных протоколов авторизации (SAML 2.0, OpenID Connect).
#Удаленка #Appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🤮7👍3🔥3❤1😁1
Junior Application Security Engineer.
Локация: #Москва
Уровень: Junior.
Зарплата: 216000 — 283000 ₽
Компания: Avito.
Задачи:
• Улучшать существующий S-SDLC, интегрируя новые решения по безопасности и совершенствуя уже используемые.
• Принимать участие в проверках и аудитах безопасности.
• Внедрять новые процессы S-SDLC.
• Развивать программу Bug Bounty.
• Коммуницировать с большим количеством команд разработки в рамках консультаций и управления рисками.
Ожидания:
• Знаете основные типы уязвимостей приложений и подходы по их устранению.
• Имеете опыт работы с инструментами анализа безопасности и сканерами защищенности (intercepting proxies / DAST / SAST).
• Обладаете экспертизой и опытом внедрения новых инструментов безопасности и написания для них кастомных правил.
✈ Откликнуться.
#Гибрид #Appsec
Локация: #Москва
Уровень: Junior.
Зарплата: 216000 — 283000 ₽
Компания: Avito.
Задачи:
• Улучшать существующий S-SDLC, интегрируя новые решения по безопасности и совершенствуя уже используемые.
• Принимать участие в проверках и аудитах безопасности.
• Внедрять новые процессы S-SDLC.
• Развивать программу Bug Bounty.
• Коммуницировать с большим количеством команд разработки в рамках консультаций и управления рисками.
Ожидания:
• Знаете основные типы уязвимостей приложений и подходы по их устранению.
• Имеете опыт работы с инструментами анализа безопасности и сканерами защищенности (intercepting proxies / DAST / SAST).
• Обладаете экспертизой и опытом внедрения новых инструментов безопасности и написания для них кастомных правил.
#Гибрид #Appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯32👍8💩2🤮1🤡1
Application Security Engineer.
Локация: Удаленная работа.
Уровень: Middle.
Зарплата: от 200 000 ₽.
Компания: Tutu.
Что предстоит делать:
• Улучшать существующий S-SDLC, интегрируя новые решения по безопасности и совершенствуя уже используемые.
• Внедрять новые процессы S-SDLC.
• Принимать участие в проверках и аудитах безопасности.
• Создавать инструменты, делающие безопасность удобной для разработчиков и не только.
• Коммуницировать с большим количеством команд разработки в рамках консультаций и управления рисками.
Требования:
• Опыт внедрения S-SDLC-решений и автоматизации каких-либо Application Security-процессов.
• Опыт проведения Security Design Review.
• Знание основных уязвимостей веб-приложений и способов минимизации рисков.
• Готовность коммуницировать с командами, участвовать в процессах как Security Business Partner.
• Опыт поиска уязвимостей в исходном коде на Go, PHP, JS.
✈ Откликнуться.
#Удаленка #Appsec
Локация: Удаленная работа.
Уровень: Middle.
Зарплата: от 200 000 ₽.
Компания: Tutu.
Что предстоит делать:
• Улучшать существующий S-SDLC, интегрируя новые решения по безопасности и совершенствуя уже используемые.
• Внедрять новые процессы S-SDLC.
• Принимать участие в проверках и аудитах безопасности.
• Создавать инструменты, делающие безопасность удобной для разработчиков и не только.
• Коммуницировать с большим количеством команд разработки в рамках консультаций и управления рисками.
Требования:
• Опыт внедрения S-SDLC-решений и автоматизации каких-либо Application Security-процессов.
• Опыт проведения Security Design Review.
• Знание основных уязвимостей веб-приложений и способов минимизации рисков.
• Готовность коммуницировать с командами, участвовать в процессах как Security Business Partner.
• Опыт поиска уязвимостей в исходном коде на Go, PHP, JS.
#Удаленка #Appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤1
Application Security Engineer.
Локация: #Кипр.
Уровень: Senior.
Опыт: 4+ лет
Зарплата: от 4 600 €
Компания: Exness.
Обязанности:
• Conduct security reviews of the architecture and code of new and existing in-house applications, including constant communication and coordination with development and ops teams.
• Support SDLC and vulnerability management processes in development teams.
• Manage Bug Bounty program.
• Carry out the management of security incidents, including investigations and forensics.
• Maintain, improve, and work with internal automation, ASPM, SAST, SCA, DAST, WAF, and other security tools.
• Perform awareness training for developers.
Требования:
• 4 or more years of experience in Application Security or penetration testing. Or more than 5 years in other IT security roles.
• Strong background in development or penetration testing.
• Knowledge of the most common technical and logical vulnerabilities and ways of protective measures to prevent them from being exploited.
• Strong experience in exploiting web vulnerabilities, as well as keeping up to date with the latest exploitation techniques.
• Experience in writing and reading code in at least one programming language.
• Ability to leverage business communication skills to inform, convince, and educate employees to enable practical information security activities and processes.
• English proficiency level — Intermediate or higher.
✈ Откликнуться.
#Офис #Appsec
Локация: #Кипр.
Уровень: Senior.
Опыт: 4+ лет
Зарплата: от 4 600 €
Компания: Exness.
Обязанности:
• Conduct security reviews of the architecture and code of new and existing in-house applications, including constant communication and coordination with development and ops teams.
• Support SDLC and vulnerability management processes in development teams.
• Manage Bug Bounty program.
• Carry out the management of security incidents, including investigations and forensics.
• Maintain, improve, and work with internal automation, ASPM, SAST, SCA, DAST, WAF, and other security tools.
• Perform awareness training for developers.
Требования:
• 4 or more years of experience in Application Security or penetration testing. Or more than 5 years in other IT security roles.
• Strong background in development or penetration testing.
• Knowledge of the most common technical and logical vulnerabilities and ways of protective measures to prevent them from being exploited.
• Strong experience in exploiting web vulnerabilities, as well as keeping up to date with the latest exploitation techniques.
• Experience in writing and reading code in at least one programming language.
• Ability to leverage business communication skills to inform, convince, and educate employees to enable practical information security activities and processes.
• English proficiency level — Intermediate or higher.
#Офис #Appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8😱4🤯2
Аналитик уязвимостей ПО (AppSec/Security Research) (Platform V SberLinux).
Локация: #Санкт_Петербург.
Уровень: Middle.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Сбер.
Обязанности:
• Обнаружение, учет, оценка и анализ уязвимостей ОС Linux
• Разработка критериев регрессионного контроля наличия уязвимостей
• Разработка бюллетеней безопасности (включая разработку мероприятий снижения рисков неустранимых уязвимостей)
• Идентификация и локализация дефектов ОС Linux и выявление условий воспроизводимости дефектов.
Требования:
• Знание Python: 3
• Уверенные знания и опыт работы с серверными дистрибутивами Linux (RHEL, CentOS) на уровне системного администратора
• Знание механизмов и подсистем защиты ОС Linux
• Знание и опыт автоматизации задач на скриптовых языках (bash, Python, etc)
• Владение основами информационной безопасности и умение применить их в работе
• Опыт харденинга ОС Linux
• Знание инструментов и методов выявления уязвимостей ПО
• Знание типов уязвимостей и типовых источников информации о них
• Знание методик оценки уязвимостей
• Опыт безопасного анализа эксплоитов
• Умение черпать информацию из любых источников безопасным образом
• Навыки работы с генеративными AI-моделями; опыт создания AI-агентов и использования их в работе будет преимуществом
• Опыт использования GigaChat, Kandinsky и аналогов в продуктах, навыки создания и использования AI-агентов.
✈ Откликнуться.
#Офис #AppSec
Локация: #Санкт_Петербург.
Уровень: Middle.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Сбер.
Обязанности:
• Обнаружение, учет, оценка и анализ уязвимостей ОС Linux
• Разработка критериев регрессионного контроля наличия уязвимостей
• Разработка бюллетеней безопасности (включая разработку мероприятий снижения рисков неустранимых уязвимостей)
• Идентификация и локализация дефектов ОС Linux и выявление условий воспроизводимости дефектов.
Требования:
• Знание Python: 3
• Уверенные знания и опыт работы с серверными дистрибутивами Linux (RHEL, CentOS) на уровне системного администратора
• Знание механизмов и подсистем защиты ОС Linux
• Знание и опыт автоматизации задач на скриптовых языках (bash, Python, etc)
• Владение основами информационной безопасности и умение применить их в работе
• Опыт харденинга ОС Linux
• Знание инструментов и методов выявления уязвимостей ПО
• Знание типов уязвимостей и типовых источников информации о них
• Знание методик оценки уязвимостей
• Опыт безопасного анализа эксплоитов
• Умение черпать информацию из любых источников безопасным образом
• Навыки работы с генеративными AI-моделями; опыт создания AI-агентов и использования их в работе будет преимуществом
• Опыт использования GigaChat, Kandinsky и аналогов в продуктах, навыки создания и использования AI-агентов.
#Офис #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🤮3
Application Security Engineer / DevSecOps.
Локация: Удаленная работа.
Опыт: 3+ лет.
Уровень: Middle.
Зарплата: 300 000 — 400 000 ₽.
Английский: B1 — Intermediate.
Компания: Островок.
Обязанности:
• Разработка программ повышения осведомленности в области безопасности с акцентом на лучшие практики SSDLC и DevSecOps для разработчиков и команд DevOps.
• Обеспечение охвата в процентах ключевых сервисов, соответствующих целевым уровням безопасности (SLOs).
• Внедрение автоматизированных проверок безопасности в цикл CI/CD.
• Разработка программы безопасности для Kubernetes.
• Использование сканеров уязвимостей, инструментов анализа приложений, анализа кода и динамического тестирования.
• Участие в разработке внутренних нормативных документов и гайдлайнов.
• Разработка практик SSDLC и DevSecOps. Работа с инструментами для автоматизации CI/CD и DevSecOps, управления уязвимостями, хранения артефактов и сканирования безопасности приложений.
• Проведение тренингов по безопасности для коллег.
Требования:
• Не менее 3 лет опыта работы на аналогичной должности (DevSecOps).
• Опыт интеграции автоматизированных проверок безопасности в цикл CI/CD.
• Опыт разработки программы безопасности для Kubernetes.
• Уровень английского на уровне B1 (Intermediate) и выше, в том числе разговорный.
• Опыт использования сканеров уязвимостей, инструментов анализа приложений, анализа кода и динамического тестирования.
✈ Откликнуться.
#Удаленка #DevSecOps #AppSec
Локация: Удаленная работа.
Опыт: 3+ лет.
Уровень: Middle.
Зарплата: 300 000 — 400 000 ₽.
Английский: B1 — Intermediate.
Компания: Островок.
Обязанности:
• Разработка программ повышения осведомленности в области безопасности с акцентом на лучшие практики SSDLC и DevSecOps для разработчиков и команд DevOps.
• Обеспечение охвата в процентах ключевых сервисов, соответствующих целевым уровням безопасности (SLOs).
• Внедрение автоматизированных проверок безопасности в цикл CI/CD.
• Разработка программы безопасности для Kubernetes.
• Использование сканеров уязвимостей, инструментов анализа приложений, анализа кода и динамического тестирования.
• Участие в разработке внутренних нормативных документов и гайдлайнов.
• Разработка практик SSDLC и DevSecOps. Работа с инструментами для автоматизации CI/CD и DevSecOps, управления уязвимостями, хранения артефактов и сканирования безопасности приложений.
• Проведение тренингов по безопасности для коллег.
Требования:
• Не менее 3 лет опыта работы на аналогичной должности (DevSecOps).
• Опыт интеграции автоматизированных проверок безопасности в цикл CI/CD.
• Опыт разработки программы безопасности для Kubernetes.
• Уровень английского на уровне B1 (Intermediate) и выше, в том числе разговорный.
• Опыт использования сканеров уязвимостей, инструментов анализа приложений, анализа кода и динамического тестирования.
#Удаленка #DevSecOps #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7💩5❤2👎1🤮1
Старший инженер по защите веб-приложений.
Локация: Удаленная работа \ Гибрид (#Москва).
Опыт: 3–6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Lamoda Tech.
Обязанности:
• Настройка и поддержка систем защиты веб-приложений – antiDDoS, WAF, решений для защиты от ботов и CAPTCHA.
• Разработка и оптимизация правил WAF для защиты веб-приложений от атак. Анализ логов и данных WAF, веб-серверов и других систем для выявления потенциальных угроз. Регулярное обновление правил и сигнатур в соответствии с новыми угрозами и уязвимостями.
• Настройка и управление решениями для защиты от ботов. Анализ поведения ботов и разработка стратегий для их блокировки или ограничения.
• Настройка CAPTCHA-решений (например, Google reCAPTCHA, hCaptcha) для защиты форм авторизации, регистрации и других уязвимых точек веб-приложений. Оптимизация CAPTCHA для минимизации негативного влияния на пользовательский опыт (UX).
• Участие в разработке и внедрении политик и процедур, связанных с безопасностью веб-приложений.
• Разработка технических требований к безопасности для новых веб-приложений и API.
• Взаимодействие с командами разработки, DevOps, продуктовой безопасности и другими подразделениями для обеспечения комплексной защиты. Участие в кроссфункциональных проектах, связанных с улучшением безопасности инфраструктуры.
Требования:
• Опыт работы в сфере информационной безопасности, связанной с защитой веб-приложений, не менее 2-3 лет.
• Практический опыт работы с системами antiDDoS, WAF, внедрения и настройки решений для защиты от ботов и CAPTCHA.
• Глубокое понимание принципов работы WAF. Опыт настройки правил WAF, умение анализировать логи WAF и выявлять атаки.
• Знание методов и технологий для защиты от ботов (поведенческий анализ, машинное обучение, анализ трафика). Опыт работы с решениями для защиты от ботов.
• Опыт внедрения и настройки CAPTCHA-решений. Понимание баланса между безопасностью и удобством пользователей (UX).
• Знание уязвимостей веб-приложений (OWASP Top 10). Понимание протоколов HTTP/HTTPS, TLS/SSL. Опыт работы с инструментами для анализа веб-трафика.
• Опыт работы с облачными платформами и их инструментами безопасности.
• Понимание принципов DevSecOps и интеграции безопасности в процессы разработки.
✈ Откликнуться.
#Удаленка #Гибрид #AppSec
Локация: Удаленная работа \ Гибрид (#Москва).
Опыт: 3–6 лет.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Lamoda Tech.
Обязанности:
• Настройка и поддержка систем защиты веб-приложений – antiDDoS, WAF, решений для защиты от ботов и CAPTCHA.
• Разработка и оптимизация правил WAF для защиты веб-приложений от атак. Анализ логов и данных WAF, веб-серверов и других систем для выявления потенциальных угроз. Регулярное обновление правил и сигнатур в соответствии с новыми угрозами и уязвимостями.
• Настройка и управление решениями для защиты от ботов. Анализ поведения ботов и разработка стратегий для их блокировки или ограничения.
• Настройка CAPTCHA-решений (например, Google reCAPTCHA, hCaptcha) для защиты форм авторизации, регистрации и других уязвимых точек веб-приложений. Оптимизация CAPTCHA для минимизации негативного влияния на пользовательский опыт (UX).
• Участие в разработке и внедрении политик и процедур, связанных с безопасностью веб-приложений.
• Разработка технических требований к безопасности для новых веб-приложений и API.
• Взаимодействие с командами разработки, DevOps, продуктовой безопасности и другими подразделениями для обеспечения комплексной защиты. Участие в кроссфункциональных проектах, связанных с улучшением безопасности инфраструктуры.
Требования:
• Опыт работы в сфере информационной безопасности, связанной с защитой веб-приложений, не менее 2-3 лет.
• Практический опыт работы с системами antiDDoS, WAF, внедрения и настройки решений для защиты от ботов и CAPTCHA.
• Глубокое понимание принципов работы WAF. Опыт настройки правил WAF, умение анализировать логи WAF и выявлять атаки.
• Знание методов и технологий для защиты от ботов (поведенческий анализ, машинное обучение, анализ трафика). Опыт работы с решениями для защиты от ботов.
• Опыт внедрения и настройки CAPTCHA-решений. Понимание баланса между безопасностью и удобством пользователей (UX).
• Знание уязвимостей веб-приложений (OWASP Top 10). Понимание протоколов HTTP/HTTPS, TLS/SSL. Опыт работы с инструментами для анализа веб-трафика.
• Опыт работы с облачными платформами и их инструментами безопасности.
• Понимание принципов DevSecOps и интеграции безопасности в процессы разработки.
#Удаленка #Гибрид #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4😁1
AppSec engineer.
Локация: Удаленная работа.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Альфа-Банк.
Обязанности:
• Проведение аудитов безопасности проектов;
• Консультирование команды тестирования и разработки по вопросам безопасной разработки;
• Развитие Secure Software Development Life Cycle (SDLC).
Требования:
• Опыт Bug Bounty;
• Опыт работы с Intercepting Proxy (Burp Suite, OWASP ZAP, etc.) и глубокой настройкой этих инструментов;
• Опыт тестирования приложений на Java стеке;
• Опыт работы с OWASP Top 10 и OWASP API Top 10;
• Опыт тестирования на frontend и backend уязвимости;
• Опыт написания скриптов для автоматизации (bash / powershell / python / etc).
✈ Откликнуться.
#Удаленка #AppSec
Локация: Удаленная работа.
Опыт: 1-3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Альфа-Банк.
Обязанности:
• Проведение аудитов безопасности проектов;
• Консультирование команды тестирования и разработки по вопросам безопасной разработки;
• Развитие Secure Software Development Life Cycle (SDLC).
Требования:
• Опыт Bug Bounty;
• Опыт работы с Intercepting Proxy (Burp Suite, OWASP ZAP, etc.) и глубокой настройкой этих инструментов;
• Опыт тестирования приложений на Java стеке;
• Опыт работы с OWASP Top 10 и OWASP API Top 10;
• Опыт тестирования на frontend и backend уязвимости;
• Опыт написания скриптов для автоматизации (bash / powershell / python / etc).
#Удаленка #AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2