Обязанности:
Мы ищем Application Security Engineer. На этой роли вам предстоит выстраивать безопасность эксплуатации всех наших систем, продуктовую безопасность, а также развивать практики безопасной разработки в компании. Чем предстоит заниматься разработка и адаптация практик обнаружения дефектов безопасности в исходном коде, зависимостях и/или других артефактах; анализ актуальных угроз, архитектур и формирование требований к безопасности приложений; внедрение инструментов автоматического анализа (в т.ч. SAST, DAST, SCA, OSA), анализ результатов работы инструментов; участие в планировании разработки нового функционала приложения, анализ решения по результатам разработки; создание точек контроля, выявляющих отклонения продукта от требований информационной безопасности в том числе runtime; администрирование, разработка и внедрение системы информационной безопасности в части безопасного цикла разработки; проведение обучения разработчиков требованиям информационной безопасности. Что для этого нужно: понимание современных процессов и практик разработки ПО: OWASP SAMM, BSIMM, Microsoft SDLC; навыки работы с инструментами SAST, DAST, SCA/OSA, IaC, IAST; навыки анализа актуальных угроз, архитектур и формирование требований безопасности приложений; знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки; умение читать код на разных языках программирования; практический опыт проведения анализа защищенности программных решений (black/gray/white box); навыки работы с Unix/Linux на уровне системного администратора.