AppSec Expert
STP Software Systems
Чем предстоит заниматься:
• Проведение регулярной экспертизы программного кода на наличие уязвимостей;
• Работа с инструментами анализа кода (SAST/DAST/SCA/OSA/BCA);
• Инвентаризация всех внутренних и внешних зависимостей, кодовых баз, контроль за своевременным исправлением и обновлением;
• Анализ найденных уязвимостей, выработка рекомендаций, подготовка отчетов и экспертная помощь в устранении;
• Взаимодействие с командами разработки – помощь в приоритезации исправления уязвимостей, контроль и верификация;
• Разработка Best Practices для фреймворков/технологий;
• Исследование актуальных проблем защищенности кода и инфраструктуры с целью автоматизации поиска уязвимостей и мисконфигураций;
• Выстраивание процесса безопасной разработки ПО (Security SDLC);
• Работа с инцидентами ИБ на этапе эксплуатации, подготовка рекомендаций по устранению выявленных проблем и улучшению процессов Безопасной Разработки ПО.
Требования к экспертизе:
• Высшее техническое образование в области IT, ИБ;
• Коммерческий опыт со схожими задачами не менее 4 лет;
• Глубокое понимание принципов построения системы информационной безопасности;
• Практический опыт проведения анализа защищенности веб-приложений, умение исправлять найденные уязвимости;
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры (облачные технологии, REST API, JSON, gRPC, OAuth2.0/OpenID);
• Умение читать исходный код на различных языках (в частности JS и C#) и анализировать код на предмет наличия уязвимостей;
• Опыт работы с инструментами анализа безопасности приложений (SAST, DAST, SCA, OSA, ASOC, RASP);
• Не только понимаете, как работают угрозы из OWASPTop 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем;
• Опыт работы с различными VMS (DefectDojo, ArcherySec);
• Знание контейнеризации, принципов работы контейнеров и их безопасного взаимодействия;
• English level – B2;
Вне РФ, РБ
