Старший инженер AppSec

Описание вакансии

**Старший инженер AppSec.

Локация:** #Москва.

Зарплата: ₽. Обсуждается на собеседовании.

Компания: WMX.

Обязанности:• Погружаться в архитектуру, бизнес-логику и технологический стек продуктов компании, выступать экспертной точкой по вопросам безопасности приложений;

• Проводить анализ защищенности приложений и сервисов на этапах проектирования, разработки и сопровождения;

• Выявлять уязвимости и недостатки бизнес-логики, предлагать варианты устранения и сопровождать внедрение решений;

• Проводить threat modeling для новых и уже существующих систем, оценивать риски и определять меры защиты;

• Выполнять архитектурное ревью безопасности, формировать рекомендации по безопасной архитектуре и сопровождать их реализацию;

• Организовывать и развивать практики и процессы Secure SDLC / DevSecOps, формировать стратегию развития; направления AppSec, координировать защиту продуктов и представлять направление во взаимодействии с руководством, аудиторами и регуляторами;

• Выбирать, внедрять и развивать инструменты защиты кода и приложений, встраивать их в CI/CD и процессы разработки;

• Организовывать и совершенствовать процессы управления уязвимостями, приоритизации и контроля устранения недостатков безопасности;

• Разрабатывать нормативную, методическую и рабочую документацию по безопасной разработке;

• Транслировать регуляторные и комплаенс-требования в конкретные технические меры и требования к продуктам и процессам;

• Участвовать в аудитах, проверках, сертификационных активностях и расследовании инцидентов безопасности при необходимости;

• Взаимодействовать с командами разработки, DevOps, архитекторами, продуктовыми командами и другими заинтересованными сторонами.

Требования:• Опыт работы в AppSec / Product Security / DevSecOps на уровне senior;

• Глубокое понимание архитектуры приложений, API, микросервисов и типовых рисков безопасности современных систем;

• Хорошее знание OWASP Top 10, OWASP API Top 10, CWE и практический опыт применения этих знаний;

• Опыт анализа защищенности бизнес-логики, проведения Security by Design и архитектурного ревью;

• Практический опыт threat modeling с использованием STRIDE, PASTA, Attack Trees или аналогичных подходов;

• Опыт работы с SAST, DAST, SCA, fuzzing и другими инструментами AppSec, понимание их ограничений и сценариев применения;

• Опыт внедрения и развития процессов Secure SDLC / DevSecOps и интеграции проверок безопасности в CI/CD;

• Опыт выстраивания процессов управления уязвимостями и взаимодействия с командами разработки по их устранению;

• Знание требований ФСТЭК, 152-ФЗ и других применимых регуляторных требований в части безопасной разработки ПО;

• Опыт подготовки документации, участия в аудитах, проверках и сертификационных мероприятиях;

• Навыки программирования на Python, Go, Ruby или аналогичном языке для автоматизации и разработки внутренних AppSec-инструментов;

• Практический опыт работы с Linux, Git, GitLab, Docker, Kubernetes, Terraform/Ansible, Vault, облачной и сетевой инфраструктурой будет преимуществом;

• Опыт настройки логирования, анализа событий ИБ и участия в расследовании инцидентов безопасности;

• Умение четко доносить риски, рекомендации и обоснования до технических и нетехнических команд.

✈ Откликнуться

#Офис