#вакансия #москва #питер #Application Security #WebSecurity
Всем привет!
В нашу дружную и профессиональную службу ИБ Яндекса ищем Application Security инженера.
Предстоит много интересных проектов связанных с Я. Станцией, умным домом, модулем и тп. Подробнее о задачах можно почитать тут https://yandex.ru/jobs/vacancies/security/prodsec_eng/
По всем вопросам пишите в ТГ: nastya_searchall

#вакансия #Application #security #DevSecOps #AppSec

Application security specialist

✅ГК Fix - международный холдинг и ИТ-инкубатор. Мы запускаем технологичные продукты в сфере FinTech.
Сейчас открыта вакансия на проект по международной платежной системе с головным офисом в Лондоне.

📍Локация: Казань или удаленно
📌Занятость: полная
📋Опыт: от 2-х лет
💰ЗП от 230 000 на руки

Основные задачи:
• Выстраивание, тестирование и внедрение процессов безопасной разработки. Создание роли Security Champions
• Анализ архитектуры разрабатываемого ПО с точки зрения безопасности, подготовка требований безопасности и моделирование угроз ИБ
• Развертывание, внедрение в pipeline инструментов тестирования безопасности для разрабатываемого софта
• Инструментальный анализ безопасности микросервисов и ПО, анализ отчетов инструментов, установление оценки критичности и формирование рекомендаций по устранению уязвимостей
• Работа с зависимостями, сборкой и безопасностью supply chain, поиск секретов и отслеживание уязвимостей в третье сторонних библиотеках
• Взаимодействие с командами разработки для совместного разбора найденных дефектов и дальнейшее их устранение
• Запуск и поддержка программы Bug Bounty
• Проведение тестов на проникновение

Необходимые навыки:
• Знание стандартов и методик разработки защищенного ПО, соответствующих фреймворков и протоколов, понимание методологий MS SDL, BSIMM, OpenSAMM, OWASP и WASC
•Опыт организации и внедрения процесса безопасной разработки
•Опыт интеграции средств информационной безопасности в процессы CI\CD
•Понимание логики, возможностей и опыт работы следующих классов решений: Source Code Management (GitLab, GitHub), CI/CD (Git, TeamCity), Registry (Nexus, Artifactory), Task tracker (JIRA), Code Analysis Tools (SonarQube, SemGrep, GitLeaks, OWASP), Dependency Check, GoSec, etc), Vulnerability management (OWASP DefectDojo), SAST (Checkmarx, SemGrep), OAST (SNYK), DAST (Burp, ZAP), Secret Management (truffleHog, HashiCorp Vault)
•Знание Bash, Python или любого другого средства скриптовой автоматизации
•Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10
•Опыт настройки механизмов безопасности для K8S
•Понимание принципов работы современных веб-приложений, облачной инфраструктуры, контейниризированных приложений и микросервисной архитектуры
•Умение читать исходный код и выявлять уязвимости языков программирования из списка: Java, .Net (C#), JavaScript, Python, Kotlin
•Знание OS Linux на уровне администратора

Мы предлагаем:
•Официальное оформление
•Достойный уровень дохода (обсуждается индивидуально)
•Уютный офис в центре города Казань или полностью удаленка
•Интересные задачи и работа в команде профессионалов
•Корпоративные праздники и мероприятия
•Скидка на изучение английского языка от одной из крупнейших онлайн-школ
•Корпоративный спорт (футбол, волейбол, йога)
•Корпоративный психолог
•ДМС со стоматологией

✉️Контакт HR: @lisevaoksana

#appsec #pentest #owasp #application_security #sast #dast

Инженер по безопасности приложений (Application Security) в банк Открытие

Локация: Москва, м. Бауманская (после ИС переход на гибрид, преимущественно удалённо)
Доход: 200 000-250 000 руб.

О нас: Наша команда повышает уровень безопасности финансовых продуктов и услуг, встраивает контроли безопасности в производственный цикл, анализирует защищенность и тестирует приложения.

Задачи:
-Анализ угроз и защищенности веб, мобильных приложений и инфраструктуры (Application Security, SAST/DAST/IAST);
-Внутреннее и внешнее тестирование корпоративных систем на проникновение (Black box, Grey box, White box);
-Threat hunting;
-Red Teaming.

Мы ожидаем от вас:
-Понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM), знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code inijection и т.д.);
-Опыт поиска и эксплуатации уязвимостей инструментально, их верификации;
-Опыт проведения тестов на проникновение (Penetration test), использования утилит: nmap, metasploit, burp suite pro, а также из GNU Kali Linux;
-Знание сетевых технологий (TCP/IP), основных уязвимостей сетевых протоколов;
-Понимание работы веб-протоколов и технологий (HTTP, HTTPS, SOAP, AJAX, JSON, REST), основных веб-уязвимостей (OWASP Top 10);
-Мониторинг трендов киберугроз, техник и тактик злоумышленников (TTP);
-Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10.

Будет плюсом:
-Владение одним из языков: C#, Java, Python, Ruby, PHP, JavaScript, SQL;
-Владение скриптовым языком (asp, php, python, perl, bash, powershell);
-Сертификаты OSCP, CEH;Опыт проведения security code review;
-Опыт работы с инструментами безопасной разработки (SAST/DAST/IAST) в конвейере CI/CD;
-Высшее образование по направлению ИТ/ИБ.

Мы предлагаем:
-Оформление в штат в соответствии с ТК;
-Премирование по результатам работы;
-ДМС со стоматологией, полис ВЗР, скидки на ДМС для близких родственников;
-Профессиональное развитие, обучение в корпоративном университете;
-Льготные ставки на банковские и страховые продукты «Открытия», скидки от компаний-партнеров (моб. связь, фитнес, англ. и т.д.).

Для связи: @Galia_V (Галия)