- Страна
- Россия
Откликайтесь
на вакансии с ИИ
Инженер по безопасной разработке (AppSec)
Оценка ИИПозиция в известной компании с социально значимым продуктом и возможностью удаленной работы. Стек технологий современный и востребованный, что способствует профессиональному росту в сфере AppSec.
Сложность вакансии
Оценка ИИРоль требует глубоких знаний в области Secure SDLC и владения широким стеком инструментов (SAST, SCA, ASOC). Необходимость читать код на нескольких языках и опыт работы с Kubernetes повышают порог входа.
Анализ зарплаты
Оценка ИИЗарплата в вакансии не указана, однако для специалистов AppSec с опытом от 3 лет на российском рынке медиана составляет около 250 000 - 300 000 рублей. Учитывая масштаб компании «Честный знак», можно ожидать предложения в рамках или выше рыночных ожиданий.
Сопроводительное письмо
Составьте идеальное письмо к вакансии с ИИ-агентом
Откликнитесь в Честный знак.рф уже сейчас
Присоединяйтесь к команде «Честного знака» и станьте ключевым звеном в обеспечении безопасности национальных ИТ-систем!
Описание вакансии
**Инженер по безопасной разработке (AppSec).
Локация:** Удаленная работа.
Уровень: 1–3 года.
Зарплата: ₽. Обсуждается на собеседовании.
Компания: Честный знак.рф
Обязанности:• Оценка архитектурных и бизнес-решений на ранних этапах разработки для выявления и предотвращения рисков информационной безопасности.
• Обеспечение безопасности на ранних этапах разработки в рамках Secure SDLC (SAST, SCA):
• Проведение триажа уязвимостей, включая консультирование команд разработки по устранению уязвимостей и/или минимизации рисков;
• Сопровождение выявленных уязвимостей от регистрации до закрытия: включая ревью предложенных исправлений и подтверждение их принятия в основную ветку разработки;
• Проведение исследований и оценка новых инструментов безопасности при необходимости их внедрения.
• Внедрение, улучшение и сопровождение практик AppSec в процессах проектирования разработки, а также продвижение принципа «Security by design».
• Участие в реагировании на инциденты.
Требования:• Опыт работы в качестве специалиста по безопасности приложений (AppSec) от 3 лет.
• Умение писать и читать код на популярных языках (Java, Kotlin, Python, JS, Go) — для анализа уязвимостей, автоматизации и совместной работы с разработчиками.
• Знание архитектуры веб- и мобильных приложений с фокусом на типичные векторы атак и защитные механизмы.
• Опыт работы с инструментами автоматизированного анализа безопасности:
➡SAST: Svace\ Semgrep\CodeQL;
➡Secret Scanning (сканирование на наличие секретов в коде): TruffleHog;
➡OSA\SCA (анализ уязвимостей в зависимостях): Codescoring;
➡ASOC (управление результатами сканирования): DefectDojo.
• Опыт работы с инструментальным стеком разработки: Jira, Gitlab, Harbor, Nexus, Rancher, Kubernetes, Vault, FreeIpa, Keycloak.
• Опыт работы с системами автоматической сборки: Maven, Gradle, Sbt, Bazel.
• Знание ключевых рисков безопасности веб-приложений (OWASP Top 10, CWE Top 25) и практик безопасной разработки (Secure SDLC, threat modeling, defense in depth).
#Удаленка
Создайте идеальное резюме с помощью ИИ-агента
Навыки
- Python
- Threat Modeling
- Kubernetes
- JavaScript
- Kotlin
- Java
- Jira
- Gradle
- Maven
- Keycloak
- Go
- GitLab
- Vault
- SCA
- SAST
- OWASP Top 10
- Secure SDLC
- AppSec
- CodeQL
- Semgrep
- DefectDojo
- TruffleHog
Возможные вопросы на собеседовании
Проверка практического опыта работы с результатами автоматизированного сканирования.
Расскажите о вашем процессе триажа уязвимостей: как вы отделяете False Positive и приоритизируете задачи для разработчиков?
Оценка понимания методологии Security by Design.
Как бы вы организовали процесс оценки безопасности архитектурного решения на этапе проектирования новой фичи?
Проверка навыков работы с конкретными инструментами, указанными в вакансии.
Был ли у вас опыт настройки и интеграции DefectDojo в CI/CD пайплайны? С какими сложностями вы сталкивались?
Оценка знаний актуальных угроз.
Какие из рисков OWASP Top 10 вы считаете наиболее критичными для микросервисной архитектуры на базе Kubernetes и почему?
Проверка коммуникативных навыков и умения работать с командами.
Как вы убеждаете команду разработки исправить уязвимость, которую они считают некритичной или трудновоспроизводимой?
Похожие вакансии
Senior Information Security Specialist
ИБ-специалист (Middle+ / Senior)
Python Backend-инженер (CyberSec)
Senior Application Security Engineer
Специалист по защите информации (Mobile Security Engineer)
Senior Information Security (ИБ)
1000+ офферов получено
Устали искать работу? Мы найдём её за вас
Quick Offer улучшит ваше резюме, подберёт лучшие вакансии и откликнется за вас. Результат — в 3 раза больше приглашений на собеседования и никакой рутины!