Ведущий инженер по безопасности приложений (AppSec)

Наша компания занимается разработкой высокотехнологичных сервисов на базе алгоритмов искусственного интеллекта (компьютерное зрение и тексты) для медицинских сервисов. Наши решения помогают:- медицинским учреждениям достигать высоких результатов;- врачам принимать эффективные решения;- пациентам сохранить свое здоровье. Сейчас мы в поисках опытного Инженера AppSec​​​​​​​. Обязанности: -имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения; -моделирование угроз и формирование требований безопасности; -внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов; -проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей; -осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности; -внедрение, настройка и поддержка WAF, реагирование на атаки; -участие в расследовании инцидентов информационной безопасности; -сопровождение внешних тестирований на проникновение. Требования: -знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки; -практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне; -понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.); -умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir); -знание SQL (PostgreSQL); -знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение; -навыки работы с инструментами SAST, DAST, SCA/OSA, др.; -понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps. Технологический стек: -фреймворки: aiohttp, sqlalchemy, asyncpg, poetry, django, websockets, react, redux, socket.io, elixir, ecto, tensorflow; -СУБД: postgresql, mongodb; -журналирование, мониторинг: graylog, prometheus, grafana, elasticsearch, fluent-bit; -контейнеризация и доставка: docker, dockerize, docker-compose, kubernetes, gitlab-runner, ansible. Будет преимуществом: -языки: python3, javascript, typescript, erlang; -образование (курсы) в области application security, ethical hacking, penetration testing; -опыт участия в Bug Bounty, CTF. Условия: -возможность самореализации при работе с интересными задачами и проектами; -разностороннее профессиональное развитие; -дружный молодой коллектив; -привлекательная заработная плата; -оформление по ТК РФ; -премии по итогам работы; -возможность работать удаленно либо в современном офисе Сколково; -гибкое начало и окончание рабочего дня, свободный дресс-код; -ДМС с 1-ого дня оформления