AppSec-инженер — анализ безопасности приложений и сервисов@ Золотое Яблоко

О позиции

Мы ищем AppSec-инженера для работы в компании Золотое Яблоко. Вы будете заниматься анализом безопасности приложений и сервисов, внедрением мер по устранению выявленных рисков и обеспечением безопасной архитектуры.

Чем вы будете заниматься

• Проверка безопасности сервисов, приложений и архитектуры, сопровождение внедрения мер по устранению рисков.
• Давать рекомендации по построению безопасной архитектуры, описывать целевую архитектуру по лучшим практикам, включая OWASP.
• Анализировать код разрабатываемых сервисов на наличие уязвимостей.
• Проводить аудит безопасности необходимых сред и приложений (web, API, mobile).
• Проводить аудит и тестирование программ лояльности на предмет безопасности и возможных злоупотреблений.
• Составлять отчеты по результатам аудитов, заводить задачи в Jira с рекомендациями и сопровождать их до закрытия.
• Строить и поддерживать модели угроз по закрепленным сервисам.
• Составлять рекомендации по улучшению автоматических сканеров анализа уязвимостей.
• Анализировать уязвимости по программе bug bounty: триаж, оценка, рекомендации.
• Оказывать помощь младшим специалистам команды, участвовать в их обучении.

Требования

• Коммерческий опыт работы в AppSec или анализе защищённости от 2 лет.
• Глубокие знания web-технологий и понимание архитектуры микросервисных приложений.
• Понимание уязвимостей из OWASP Top 10 и OWASP Mobile Top 10.
• Умение работать с инструментами: nmap, BurpSuite, ZAP, MSF, SQLmap и другими.
• Опыт построения моделей угроз (STRIDE/threat modeling) и ревью архитектуры.
• Опыт анализа кода с точки зрения безопасности хотя бы на одном из распространенных стеков.
• Опыт тестирования на проникновение веб-приложений, мобильных приложений и API от 1 года.
• Знания принципов работы средств защиты информации (WAF и решений на уровне сервиса).
• Умение обходить защиту на уровне приложений.

Что мы предлагаем

• Конкурентная зарплата, обсуждаемая на собеседовании.
• Возможность работать удаленно.
• Динамичная команда и интересные задачи.
• Обучение и развитие в области безопасности.
• Участие в конференциях и семинарах.
• Гибкий график работы.