Инженер по безопасности приложений (AppSec)@ Confirmo Ltd

О позиции

Мы ищем Инженера по безопасности приложений (AppSec), который будет играть ключевую роль в обеспечении безопасности разработки и кода. Эта позиция предлагает возможность работать удалённо и активно участвовать в создании безопасных программных решений.

Чем вы будете заниматься

• Встраивать безопасность в процесс разработки: участвовать в планировании, вести моделирование угроз и проверять критически важные PR как партнер, а не как контролер.
• Постоянно оценивать кодовую базу, уделяя внимание высоким рискам: аутентификация, авторизация, криптография, безопасность API и работа с конфиденциальными данными.
• Управлять инструментами безопасности SDLC: внедрять и поддерживать SAST, сканирование зависимостей, обнаружение секретов и другие автоматизированные проверки в CI/CD.
• Обеспечивать безопасность сборки и развертывания: контролировать подпись кода, доступ и целостность цепочки поставок, чтобы предотвратить попадание несанкционированного или скомпрометированного кода в продукцию.
• Управлять уязвимостями от начала до конца: от триажа до координированного устранения и проверки.
• Формировать культуру безопасности в инженерной команде через кодовые ревью, обмен знаниями и интеграцию безопасности в процесс разработки.
• Сотрудничать с CISO по анализу разрывов между стандартами безопасности и практиками облачной инфраструктуры, а также инициировать улучшения.
• Поддерживать операции Blue Team, включая управление журналами, правила обнаружения и расследование тревог через SIEM и платформы наблюдаемости.
• Поддерживать конфигурации безопасности сети и границы, включая Cloudflare WAF, ограничение частоты и правила доступа.
• Участвовать в разработке политик безопасности и соблюдении стандартов на устройствах сотрудников и в рамках таких стандартов, как ISO 27001, SOC 2 и DORA.

Требования

• Опыт разработки программного обеспечения: минимум 3 года профессионального опыта в качестве разработчика программного обеспечения.
• Экспертиза в области безопасности приложений: глубокое понимание OWASP Top 10 и принципов безопасного кодирования.
• Способность к моделированию угроз: умение анализировать проектирование функций или архитектуру системы и систематически выявлять потенциальные проблемы.
• Понимание безопасного SDLC: знание интеграции безопасности на всех этапах жизненного цикла разработки.
• Основы облачной безопасности: понимание безопасности публичного облака (предпочтительно AWS), IAM, сегментации сети и управления секретами.

Что мы предлагаем

• Конкурентоспособная зарплата и возможность удалённой работы.
• Доступ к современным инструментам и технологиям.
• Возможности для профессионального роста и развития.
• Дружелюбная команда и поддерживающая атмосфера.
• Гибкий график работы и возможность работы из любого места.