Основные задачи

Application Security Engineer

• Проводить триаж уязвимостей, выявленных с помощью различных инструментов тестирования (SAST, SCA, Secret Detection и др.).
• Оценивать защищённость продуктов на основе моделей угроз.
• Выполнять адаптированные для продукта тестирования (fuzzing, сканирование портов и пр.).
• Исследовать новые векторы атак.
• Участвовать в тестировании на проникновение.
• Разрабатывать способы реализации функций безопасности (проведение PoC).
• Участвовать в выборе и внедрении инструментов тестирования безопасности.

DevSecOps / Infrastructure Engineer

• Внедрять и развивать DevSecOps-практики, а также совершенствовать подходы к обеспечению безопасности инфраструктуры разработки.
• Выявлять, анализировать и устранять угрозы безопасности и новые векторы атак в инфраструктуре продуктов и CI/CD-процессах.
• Участвовать в проектировании и внедрении безопасной архитектуры CI/CD.
• Внедрять и обеспечивать стабильность SAST/SCA/DAST-инструментов, создавать и сопровождать Quality Gates.
• Автоматизировать производственные процессы с использованием GitLab CI/Ansible/Helm.
• Ставить командам задачи по улучшению безопасности и контролировать их исполнение.

Ожидания

Application Security Engineer

• Опыт работы на аналогичной должности от 1 года.
• Практический опыт работы с несколькими классами инструментов из следующего перечня: SAST, SCA, DAST, fuzzing, secret detection, malware scanning и др.
• Навыки проведения code review.
• Навыки программирования минимум на 1 языке из списка: C++, Go.
• Умение автоматизировать задачи своей области (bash, python).
• Опыт работы с системами/сервисами отслеживания багов (Jira или пр.).
• Способность договариваться и доносить проблемы безопасности простым и понятным языком.

DevSecOps / Infrastructure Engineer

• Опыт работы в области DevSecOps от двух лет.
• Понимание SSDLC и современных угроз информационной безопасности.
• Практический опыт внедрения инструментов SAST, DAST, SCA и fuzzing в существующие процессы разработки.
• Опыт работы с CI/CD-инструментами, локальными репозиториями.
• Опыт работы с инструментами или их аналогами: Trivy, DefectDojo, Dependency-Track, kube-bench/kube-hunter, OPA, CIS Benchmark, Vault, Keycloak, CyclonDX, сканерами уязвимостей.
• Практический опыт работы с Docker и Kubernetes, понимание, как работает система изнутри.
• Практический опыт использования инструментов управления конфигурациями: Ansible, Helm.
• Навык администрирования и настройки Linux.
• Понимание принципов работы сетевой инфраструктуры и обеспечения её безопасности.
• Умение автоматизировать рутинные задачи (Bash, Python).
• Способность договариваться и понятно доносить суть проблем безопасности простыми словами до разных аудиторий.

Дополнительно: опыт в роли Application Security / Infrastructure Security Engineer.

Формат работы

Большинство команд распределённые, поэтому вы можете работать как удалённо, так и в офисах городов присутствия.

У нас есть офисы в Санкт-Петербурге, Москве, Нижнем Новгороде, Екатеринбурге и Минске. Трудовой договор с сотрудниками мы заключаем по ТК РФ.