AppSec инженер-Senior

Описание вакансии

AppSec инженер-Senior

Описание проекта: Работы на внутренней инфраструктуре IT - компании

Продолжительность: Год+

Локация: РФ, РБ

Ставка: ваша

Требования к кандидату:

● Ручной и автоматизированный анализ защищённости веб, API, мобильных приложений и внутренних сервисов.

● Поиск уязвимостей по OWASP и внутренним стандартам Заказчика.

● Отчёты: вектор атаки, CVSS v3.1, шаги воспроизведения, рекомендации по исправлению.

● Ведение уязвимостей через процесс управления дефектами.

● Ретест исправлений после закрытия уязвимостей разработкой.

● AppSec-проверки перед промышленной эксплуатацией (приёмочные испытания).

● Оценка соответствия сервиса Security Requirements Заказчика.

● Фиксация в Jira с категоризацией по критичности и блокировкой релиза.

● Анализ и верификация результатов SAST, SCA, Secret Detection, DAST в ASOC (Semgrep и др.) и job output пайплайнов безопасности.

● Отделение истинных срабатываний от ложных, классификация рисков, приоритизация для разработки.

● Исключение ложных срабатываний в единой системе исключений.

● Снижение «шума» через доработку исключений и кастомизацию правил сканирования.

● Полный жизненный цикл уязвимости: от обнаружения до закрытия.

● Взаимодействие с разработкой по срокам устранения, эскалация просрочек.

● Контроль SLA по устранению уязвимостей Заказчика.

● Разработка кастомных правил Semgrep и других SAST под стек Заказчика.

● Создание правил Secret Detection под форматы токенов, ключей и credentials компании.

● Тестирование правил на инструментах Заказчика, итеративная доработка.

● Документирование правил: назначение, примеры, ожидаемые результаты.

● Разработка шаблонов Nuclei и DAST для специфичных уязвимостей приложений.

● Шаблоны для бизнес-логики, аутентификации, авторизации, нестандартных API.

● Тестирование, документирование и передача шаблонов в продуктив.

● Разработка кастомных правил WAF для защиты приложений.

● Тестирование правил WAF, документирование, передача в продуктив.

● Техническая и процессная документация: архитектура с точки зрения безопасности, модели угроз, бизнес-логика.

● Security Notes, гайды по безопасной разработке, чеклисты под стек Заказчика.

● Актуализация документации при изменении архитектуры.

● Анализ Security Requirements, Security Notes и ЛНД на полноту и актуальность.

● Предложения по расширению требований под новые угрозы, технологии, паттерны уязвимостей.

● Согласование обновлений нормативных документов с разработкой и безопасностью.

● Мониторинг угроз, новых CVE, техник атак под стек Заказчика.

● Исследование новых инструментов, методологий (SAST, DAST, SCA, Supply Chain Security, AI-assisted security).

● Структурированные отчёты: применимость, сравнение, рекомендации по внедрению.

● PoC перспективных инструментов в среде Заказчика