AppSec-инженер — анализ безопасности приложений и сервисов@ Золотое Яблоко
О позиции
Мы ищем AppSec-инженера для работы в компании Золотое Яблоко. Вы будете заниматься анализом безопасности приложений и сервисов, внедрением мер по устранению выявленных рисков и обеспечением безопасной архитектуры.
Чем вы будете заниматься
- Проверка безопасности сервисов, приложений и архитектуры, сопровождение внедрения мер по устранению рисков.
- Давать рекомендации по построению безопасной архитектуры, описывать целевую архитектуру по лучшим практикам, включая OWASP.
- Анализировать код разрабатываемых сервисов на наличие уязвимостей.
- Проводить аудит безопасности необходимых сред и приложений (web, API, mobile).
- Проводить аудит и тестирование программ лояльности на предмет безопасности и возможных злоупотреблений.
- Составлять отчеты по результатам аудитов, заводить задачи в Jira с рекомендациями и сопровождать их до закрытия.
- Строить и поддерживать модели угроз по закрепленным сервисам.
- Составлять рекомендации по улучшению автоматических сканеров анализа уязвимостей.
- Анализировать уязвимости по программе bug bounty: триаж, оценка, рекомендации.
- Оказывать помощь младшим специалистам команды, участвовать в их обучении.
Требования
- Коммерческий опыт работы в AppSec или анализе защищённости от 2 лет.
- Глубокие знания web-технологий и понимание архитектуры микросервисных приложений.
- Понимание уязвимостей из OWASP Top 10 и OWASP Mobile Top 10.
- Умение работать с инструментами: nmap, BurpSuite, ZAP, MSF, SQLmap и другими.
- Опыт построения моделей угроз (STRIDE/threat modeling) и ревью архитектуры.
- Опыт анализа кода с точки зрения безопасности хотя бы на одном из распространенных стеков.
- Опыт тестирования на проникновение веб-приложений, мобильных приложений и API от 1 года.
- Знания принципов работы средств защиты информации (WAF и решений на уровне сервиса).
- Умение обходить защиту на уровне приложений.
Что мы предлагаем
- Конкурентная зарплата, обсуждаемая на собеседовании.
- Возможность работать удаленно.
- Динамичная команда и интересные задачи.
- Обучение и развитие в области безопасности.
- Участие в конференциях и семинарах.
- Гибкий график работы.
Вакансия предлагает интересные задачи в области безопасности приложений с возможностью удаленной работы. Однако, отсутствие конкретной зарплаты может вызвать вопросы у кандидатов.
Кто здесь добьётся успеха
Глубокое понимание принципов безопасности приложений, включая знание OWASP Top Ten и опыт работы с инструментами анализа, такими как BurpSuite и SQLMap.
Способность работать самостоятельно в удалённом режиме, поддерживая высокий уровень самодисциплины и организованности, что позволяет эффективно управлять проектами и задачами.
Опыт в проведении оценки угроз и моделировании угроз, что позволяет эффективно выявлять уязвимости и предлагать обоснованные рекомендации по улучшению безопасности архитектуры.
Ресурсы для обучения
Карьерный путь
Обзор рынка
Навыки и требования
Тренды отрасли
Новости Cybersecurity
Загружаем новости отрасли...
Ищем релевантные статьи за последние 6 месяцев