Обязанности:
О компании WMX — российский разработчик решений в сфере кибербезопасности. Уже более 12 лет мы защищаем веб-приложения, микросервисы и API крупнейших компаний. У нас своя продуктовая линейка: ПроWAF — защита веб-приложений ПроAPI — защита API SmartBot Protection — модуль поведенческого анализа Немного масштаба: защищаем 17 000+ приложений обрабатываем 1 триллион запросов в месяц блокируем 75+ млн атак ежемесячно до 250 000 RPS в самых нагруженных инсталляциях Мы активно развиваемся и растем, поэтому сейчас находимся в поиске Старшего инженера AppSec (Senior). Что предстоит делать: Погружаться в архитектуру, бизнес-логику и технологический стек продуктов компании, выступать экспертной точкой по вопросам безопасности приложений Проводить анализ защищенности приложений и сервисов на этапах проектирования, разработки и сопровождения Выявлять уязвимости и недостатки бизнес-логики, предлагать варианты устранения и сопровождать внедрение решений Проводить threat modeling для новых и уже существующих систем, оценивать риски и определять меры защиты Выполнять архитектурное ревью безопасности, формировать рекомендации по безопасной архитектуре и сопровождать их реализацию Организовывать и развивать практики и процессы Secure SDLC / DevSecOps, формировать стратегию развития направления AppSec, координировать защиту продуктов и представлять направление во взаимодействии с руководством, аудиторами и регуляторами Выбирать, внедрять и развивать инструменты защиты кода и приложений, встраивать их в CI/CD и процессы разработки Организовывать и совершенствовать процессы управления уязвимостями, приоритизации и контроля устранения недостатков безопасности Разрабатывать нормативную, методическую и рабочую документацию по безопасной разработке Транслировать регуляторные и комплаенс-требования в конкретные технические меры и требования к продуктам и процессам Участвовать в аудитах, проверках, сертификационных активностях и расследовании инцидентов безопасности при необходимости Взаимодействовать с командами разработки, DevOps, архитекторами, продуктовыми командами и другими заинтересованными сторонами Что для этого нужно: Опыт работы в AppSec / Product Security / DevSecOps на уровне senior Глубокое понимание архитектуры приложений, API, микросервисов и типовых рисков безопасности современных систем Хорошее знание OWASP Top 10, OWASP API Top 10, CWE и практический опыт применения этих знаний Опыт анализа защищенности бизнес-логики, проведения Security by Design и архитектурного ревью Практический опыт threat modeling с использованием STRIDE, PASTA, Attack Trees или аналогичных подходов Опыт работы с SAST, DAST, SCA, fuzzing и другими инструментами AppSec, понимание их ограничений и сценариев применения Опыт внедрения и развития процессов Secure SDLC / DevSecOps и интеграции проверок безопасности в CI/CD Опыт выстраивания процессов управления уязвимостями и взаимодействия с командами разработки по их устранению Знание требований ФСТЭК, 152-ФЗ и других применимых регуляторных требований в части безопасной разработки ПО Опыт подготовки документации, участия в аудитах, проверках и сертификационных мероприятиях Навыки программирования на Python, Go, Ruby или аналогичном языке для автоматизации и разработки внутренних AppSec-инструментов Практический опыт работы с Linux, Git, GitLab, Docker, Kubernetes, Terraform/Ansible, Vault, облачной и сетевой инфраструктурой будет преимуществом Опыт настройки логирования, анализа событий ИБ и участия в расследовании инцидентов безопасности Умение четко доносить риски, рекомендации и обоснования до технических и нетехнических команд Будет плюсом: Опыт координации команды, направления или функции AppSec / Product Security Опыт построения и развития процесса SSDLC / DevSecOps на уровне нескольких продуктов или всей компании Опыт формирования стратегии, roadmap, метрик и приоритетов AppSec-направления Опыт взаимодействия с руководством, внешними аудиторами и регуляторами Навыки people management: планирование загрузки, постановка целей, развитие сотрудников, участие в найме Что предлагаем: Работу в аккредитованной IT компании Уютный офис в историческом центре Москвы (м. Киевская, м. Фрунзенская) Интересные задачи и современный стек технологий Выдадим необходимую технику для работы Возможность повлиять на развитие продукта Полное белое оформление по ТК РФ ДМС после прохождения испытательного срока Частичная компенсация затрат на спорт/отдых после прохождения испытательного срока.Похожие вакансии
Senior Application Security Engineer (AppSec)
Договорная
Москва. Станции метро: Фрунзенская, Киевская
Xello
Java разработчик AppSec Registry (senior)
Договорная
Москва. Станции метро: Фрунзенская, Киевская
Swordfish Security