Обязанности:
ЛИАН — системный интегратор с фокусом в аналитике и управлении данными. Мы работаем в трех направлениях: 1. Автоматизация управленческой отчетности (BI) в малом и среднем бизнесе. Строим хранилища данных, настраиваем сбор и интеграцию, разрабатываем отчеты и дэшборды. Наш стек в BI включает все современные инструменты, в том числе open-source ПО. 2. Заказная разработка аналитических систем. Когда у нашего клиента есть специфичный запрос, мы разрабатываем аналитические системы с нуля. Часто применяем подходы BigData, Data Science, актуальные подходы к программному анализу данных и прогнозированию. 3. Запуск и ресурсное обеспечение команд разработки в комплексных проектах цифровой трансформации. Мы усиливаем команды наших партнеров и клиентов собственными сотрудниками и обеспечиваем максимально быстрый старт новых проектов. Среди наших заказчиков - крупные системные интеграторы, банки, нефтегазовые, химические производства, логистические компании, стартапы. Чем предстоит заниматься: Проведение аудитов безопасности веб-приложений, API и мобильных приложений Поиск, анализ и эксплуатация уязвимостей (OWASP Top 10, API Top 10 и др.) Работа с SAST/DAST-инструментами, разработка кастомных правил и шаблонов Участие в процессах Secure SDLC: threat modeling, архитектурные и код-ревью Анализ исходного кода на предмет уязвимостей (Java, Python, Go, JS/TS и др.) Оценка безопасности микросервисной архитектуры, контейнеров и CI/CD Работа с системами управления уязвимостями и AppSec-платформами Подготовка отчётов по результатам аудитов и описание уязвимостей Разработка и настройка правил для WAF Взаимодействие с командами разработки по вопросам устранения уязвимостей Наши пожелания к кандидатам: Опыт практической работы в области AppSec не менее 3 лет, включая самостоятельное проведение аудитов безопасности веб-приложений, API и мобильных приложений. Глубокое знание актуальных векторов атак: OWASP Top 10, OWASP API Security Top 10, CWE, SANS Top 25. Способность не только называть, но и объяснять механику эксплуатации и методы защиты. Практический опыт работы с инструментами SAST (Semgrep, Checkmarx, SonarQube или аналоги) и DAST (Burp Suite Professional, OWASP ZAP, Nuclei). Опыт написания кастомных правил или шаблонов — обязателен. Опыт работы в процессах Secure SDLC: участие в threat modeling, security review архитектуры, ревью кода с точки зрения безопасности. Умение читать и анализировать код на одном или нескольких языках из стека: Java, Python, Go, Kotlin, JavaScript/TypeScript. Знание характерных для каждого языка паттернов уязвимостей. Понимание архитектуры микросервисов, REST/gRPC API, контейнеризации (Docker, Kubernetes) и CI/CD-пайплайнов с точки зрения безопасности. Опыт работы с ASOC-платформами или системами управления уязвимостями (AppSec.Hub, Шерлок, DefectDojo или аналоги). Способность самостоятельно писать техническую документацию на русском языке: отчёты по аудитам, threat model, security notes, описания уязвимостей. Умение писать правила для WAF на основе анализа уязвимостей и имеющих актуальных угроз. Желательные требования: Наличие сертификации по направлению информационной безопасности: CEH, OSCP, CREST Certified Tester (CT), CREST Web Application Penetration Testing Certification (CRT) или аналогичных практических сертификатов в области AppSec / пентестинга. Опыт построения или участия в AppSec-программе: Security Champions, Security Requirements, интеграция безопасности в SDLC. Что мы предлагаем: Форма трудоустройства на ваш выбор: договору оказания услуг с ИП или самозанятым Участие в интересных масштабных проектах с Заказчиками федерального и международного уровня Работа с передовыми технологиями Возможности профессионального и карьерного роста Полностью удаленная работа Регулярная и достойная оплата труда В нашей команде работают профессионалы с разносторонним опытом. Здесь ты найдешь профессиональные задачи и новые вызовы, сможешь реализовать свой потенциал.Хочешь стать частью нашей команды? Мы ждем твоего отклика и свяжемся с тобой !Похожие вакансии