Старший инженер AppSec (Безопасность приложений)@ WMX

О позиции

Мы ищем старшего инженера AppSec для присоединения к команде WMX в Москве. Ваша роль будет заключаться в обеспечении безопасности приложений и сервисов компании, а также в анализе защищенности на всех этапах разработки и сопровождения. Эта позиция старшего инженера AppSec предлагает возможность влиять на безопасность наших продуктов и взаимодействовать с различными командами.

Чем вы будете заниматься

• Погружаться в архитектуру, бизнес-логику и технологический стек продуктов компании, выступая экспертной точкой по вопросам безопасности приложений.
• Проводить анализ защищенности приложений и сервисов на этапах проектирования, разработки и сопровождения.
• Выявлять уязвимости и недостатки бизнес-логики, предлагать варианты устранения и сопровождать внедрение решений.
• Проводить threat modeling для новых и уже существующих систем, оценивать риски и определять меры защиты.
• Выполнять архитектурное ревью безопасности, формировать рекомендации по безопасной архитектуре и сопровождать их реализацию.
• Организовывать и развивать практики и процессы Secure SDLC / DevSecOps, формировать стратегию развития направления AppSec.
• Выбирать, внедрять и развивать инструменты защиты кода и приложений, встраивать их в CI/CD и процессы разработки.
• Организовывать и совершенствовать процессы управления уязвимостями, приоритизации и контроля устранения недостатков безопасности.
• Разрабатывать нормативную, методическую и рабочую документацию по безопасной разработке.
• Транслировать регуляторные и комплаенс-требования в конкретные технические меры и требования к продуктам и процессам.
• Участвовать в аудитах, проверках, сертификационных активностях и расследовании инцидентов безопасности при необходимости.
• Взаимодействовать с командами разработки, DevOps, архитекторами, продуктовыми командами и другими заинтересованными сторонами.

Требования

• Опыт работы в AppSec / Product Security / DevSecOps на уровне senior.
• Глубокое понимание архитектуры приложений, API, микросервисов и типовых рисков безопасности современных систем.
• Хорошее знание OWASP Top 10, OWASP API Top 10, CWE и практический опыт применения этих знаний.
• Опыт анализа защищенности бизнес-логики, проведения Security by Design и архитектурного ревью.
• Практический опыт threat modeling с использованием STRIDE, PASTA, Attack Trees или аналогичных подходов.
• Опыт работы с SAST, DAST, SCA, fuzzing и другими инструментами AppSec.
• Опыт внедрения и развития процессов Secure SDLC / DevSecOps и интеграции проверок безопасности в CI/CD.
• Опыт выстраивания процессов управления уязвимостями и взаимодействия с командами разработки по их устранению.
• Знание требований ФСТЭК, 152-ФЗ и других применимых регуляторных требований в части безопасной разработки ПО.
• Навыки программирования на Python, Go, Ruby или аналогичном языке для автоматизации и разработки внутренних AppSec-инструментов.
• Практический опыт работы с Linux, Git, GitLab, Docker, Kubernetes, Terraform/Ansible, Vault.
• Умение четко доносить риски, рекомендации и обоснования до технических и нетехнических команд.

Что мы предлагаем

• Конкурентная зарплата и возможность обсуждения условий на собеседовании.
• Работа в дружной команде профессионалов.
• Возможности для профессионального роста и развития.
• Участие в интересных проектах и внедрение новых технологий.
• Гибкий график работы и возможность удаленной работы.
• Корпоративные мероприятия и обучение.