- Страна
- Россия
- Зарплата
- 250 000 ₽ – 350 000 ₽
Откликайтесь
на вакансии с ИИ

AppSec Инженер
Интересная позиция в значимой компании с конкурентной зарплатой и современным технологическим стеком. Гибридный формат работы в Москве и работа с биометрическими данными делают проект уникальным с точки зрения экспертизы.
Сложность вакансии
Роль требует глубоких знаний в области безопасности кода и архитектуры, а также владения широким стеком инструментов (SAST, DAST, SCA) и навыков программирования. Высокая ответственность за безопасность критически важных биометрических систем повышает порог входа.
Анализ зарплаты
Предложенная зарплата (250 000 — 350 000 ₽) находится в рамках рыночного диапазона для Middle+/Senior AppSec специалистов в Москве. Верхняя планка соответствует ожиданиям опытных инженеров с сильными навыками автоматизации.
Сопроводительное письмо
Составьте идеальное письмо к вакансии с ИИ-агентом

Откликнитесь в Центр Биометрических Технологий уже сейчас
Присоединяйтесь к команде ЦБТ и станьте ключевым экспертом в защите биометрических технологий страны!
Описание вакансии
**AppSec.
Локация:** #Москва.
Опыт: 1+ лет.
Зарплата: 250 000 — 350 000 ₽.
Компания: Центр Биометрических Технологий.
Обязанности:• Проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов.
• Разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей.
• Участвовать в проработке и согласовании архитектуры приложений с точки зрения ИБ: проводить Threat Modeling (STRIDE, OWASP), выявлять • Архитектурные недостатки и аргументированно защищать свою экспертизу перед командами разработки.
• Выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP.
• Внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM.
• Интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Go или Bash.
• Разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep).
Требования:• Высшее образование в сфере информационной безопасности.
• Опыт работы инженером AppSec или DevSecOps от 2 лет.
• Практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM.
• Опыт работы с DAST (OWASP ZAP или аналогами).
• Знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Go, Python, JavaScript/TypeScript).
• Опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management.
• Глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения.
• Понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups).
• Опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD.
*✈* Откликнуться
Создайте идеальное резюме с помощью ИИ-агента

Навыки
- SAST
- DAST
- SCA
- CodeQL
- Semgrep
- OWASP ZAP
- GitLab CI/CD
- Python
- Go
- Bash
- HashiCorp Vault
- Linux
- SonarQube
- Checkmarx
- Threat Modeling
- STRIDE
- SBOM
Возможные вопросы на собеседовании
Проверка практического опыта работы с современными инструментами анализа кода.
Расскажите о вашем опыте написания кастомных правил для Semgrep или CodeQL: какую задачу вы решали?
Оценка навыков архитектурного анализа и понимания методологий моделирования угроз.
Как вы проводите Threat Modeling для нового микросервиса, используя методологию STRIDE?
Проверка умения работать с ложноположительными результатами и взаимодействия с разработкой.
Как вы аргументируете разработчикам необходимость исправления уязвимости, которую они считают 'false positive'?
Оценка навыков автоматизации и интеграции безопасности в процессы разработки.
Опишите процесс интеграции SCA-инструмента в GitLab CI/CD: как вы управляете SBOM и блокируете ли сборку при обнаружении уязвимых зависимостей?
Проверка знаний в области управления секретами.
Какие лучшие практики внедрения HashiCorp Vault в существующую инфраструктуру вы можете выделить?
Похожие вакансии
ИБ-специалист (Senior)
Аналитик по информационной безопасности (не appsec)
AppSec Engineer (Middle+/Senior)
Руководитель команды AppSec BP
Ведущий специалист по информационной безопасности
Инженер по информационной безопасности
1000+ офферов получено
Устали искать работу? Мы найдём её за вас
Quick Offer улучшит ваше резюме, подберёт лучшие вакансии и откликнется за вас. Результат — в 3 раза больше приглашений на собеседования и никакой рутины!