DevSecOps Engineer, Защищенные телекоммуникации (ZT)

ЗП: от 200к net

Формат работы: fulltime, удаленно
Грейд: middle

Что хотим видеть:
- Понимание кибербезопасности: знание OWASP Top 10, MITRE ATT&CK, распространенных уязвимостей (XSS, CSRF, SQLi, RCE и т.д.);
- Опыт работы с инструментами анализа кода;
- Опыт работы с инструментами сканирования работающих приложений;
- Умение работать с секретами;
- Понимание и опыт настройки пайплайнов в GitLab CI/CD;
- Опыт работы с Docker и оркестраторами (Kubernetes).

Будет дополнительным плюсом: бэкграунд в DevOps, опыт управления зависимостями и поиска уязвимостей в сторонних библиотеках и опыт настройки мониторинга безопасности (SIEM).

Задачи:
- Внедрение и автоматизация практик безопасности (SAST, DAST, SCA) в процесс CI/CD;
- Разработка безопасных и соответствующих best practices конфигураций инфраструктуры (Terraform, Kubernetes);
- Мониторинг безопасности приложений и инфраструктуры, реагирование на инциденты;
- Консультирование команд разработки по вопросам безопасности и безопасной разработки (Secure SDLC).

Контакты: @belcat666

DevSecOps, ООО «АФЛТ-Системс»

ЗП: до 400 000 рублей net

Уровень: Senior
Формат работы: гибрид
Город: Москва, м. Новокузнецкая (можем рассмотреть из других городов с учетом командировок в Москву)

ООО «АФЛТ-Системс» – официально аккредитованная в Минцифры ИТ-компания, основанная в сентябре 2022 года. Входит в состав Группы компаний «Аэрофлот». Основное направление деятельности– внедрение, проектирование и реализация ключевых инициатив и проектов Группы компаний «Аэрофлот» в области информационных технологий.

Чем предстоит заниматься:
1. Участие в проектировании архитектур CI/CD и процессов безопасной разработки:
Участие в разработке и внедрении конвейеров CI/CD с учетом требований безопасности на каждом этапе.
Определение оптимальных методов и технологий для реализации требований безопасности.
2. Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD-пайплайнах (как в существующих, так и в новых):
Выбор и автоматизация инструментов безопасности в процессы непрерывной интеграции и доставки (CI/CD).
Настройка и поддержка работы этих инструментов для обеспечения безопасности на всех этапах разработки и деплоя (размещения готовой версии программного обеспечения на платформе).
Внедрение механизмов безопасности в системы непрерывной интеграции и доставки.
3. Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки:
Тестирование и внедрение новых инструментов и методик для повышения безопасности.
Развитие существующих процессов разработки для улучшения автоматизации выявления дефектов.
4. Стандартизация работы с уязвимостями:
Участие в разработке и внедрение стандартов и процедур для выявления, устранения и управления уязвимостями.
Обеспечение соблюдения этих стандартов всеми командами разработки.
5. Оценка уязвимости приложений/сервисов к различным атакам:
Проведение тестов на проникновение и анализа уязвимостей.
Оценка рисков и уязвимостей для различных типов атак.
6. Проведение Code Review:
Взаимодействие с командами разработки для устранения потенциальных дефектов.
Проведение демонстрации эксплуатации уязвимостей, выявленных в ходе Code Review и инструментами безопасности.
Повышение осведомленности команд разработки по процессам безопасной разработки.
7. Построение модели угроз информационной безопасности приложений/сервисов и формирование предложений в части механизмов защиты:
Участие в разработке моделей угроз для идентификации потенциальных рисков.
Формирование предложений и рекомендаций по улучшению защиты.
8. Реализация задач по безопасности K8s:
Выбор инструментов для выявления недостатков в конфигурации компонентов Kubernetes;
Реализация мер безопасности для различных компонентов Kubernetes.

Ваши навыки и опыт:
• Опыт работы в области информационной безопасности или безопасной разработки;
• Проектирование систем CI/CD-инфраструктуры;
• Разработка требований к архитектуре;
• Опыт разработки на Python и скриптов автоматизации;
• Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов (AppSec/WebAppSec (SAST, DAST, SCA) и DevSecOps (SDLC/SSDLC, Kubernetes, Docker));
• Понимание того, как работают угрозы из OWASP Top 10, OWASP API Security Top 10, OWASP Mobile Top 10, CWE Top 25;
• Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, OWASP SAMM и т.п.).

Контакты: @evgeny_hr

DevSecOps Engineer, Wildberries

ЗП: до 450 тыс. рублей net (зависит от грейда)

Уровень: Middle+ / Senior
Формат: удаленка

Ключевые задачи команды:
• Участие в разработке и развитии собственной платформы для автоматизированного сканирования кода и артефактов (SAST, DAST, SCA).
• Ресерч и внедрение современных практик сканирования кода;
• Консультирование команд разработки по вопросам безопасности, устранению уязвимостей и best practices.
• Улучшение и поддержка процесса управления уязвимостями и дефектами наших продуктов.

Основные требования:
• Опыт работы с инструментами безопасности (SAST, DAST, SCA) и их конфигурации под различные технологии разработки;
• Навыки разработки и автоматизации на одном из языков: Bash, Python или Go;
• Понимание жизненного цикла и практик безопасной разработки продуктов
• Понимание принципов работы GIT и CI/CD.

Контакты: @alina_velbik

AppSec Engineer, MoneyCat (fintech)

ЗП: до 400 тр на руки (обсуждается индивидуально)

Грейд: middle/senior

Задачи:
- Внедрение и сопровождение SAST/DAST/SCA/Secrets в CI/CD.
- Организация процесса управления уязвимостями: приём, приоритизация (CVSS/EPSS/контекст), - постановка задач, контроль ремедиации, SLA.
- Триаж находок из сканеров, баг-баунти и ручных ревью, эскалацию критичных случаев.
- Организация баг-баунти/внешних пентестов: выбор площадки, правила, валидация репортов, выплаты.
- Проведение secure code review (design review, threat modeling).
- Разработка гайдлайнов и сниппетов «как безопасно»: auth, криптография, секреты, инъекции, SSRF, десериализация и пр.
- Обучение разработчиков: короткие воркшопы по безопасным паттернам.
- Участие в инцидентах приложений.

Опыт и навыки:
- опыт в AppSec с фокусом на SSDLC;
- понимание OWASP Top 10, ASVS, MASVS;
- опыт с SAST/DAST/SCA (например, Semgrep, Checkmarx, OWASP ZAP/Burp, Trivy, Dependency check);
- навыки проведения пентестов;
- навыки программирования на одном из ЯП - Python/Go/Java, умение писать безопасные паттерны;
- CI/CD (GitLab/Jenkins), quality gates.

Мы предлагаем:
- Конкурентная зарплата. Обсуждаем на собеседовании, зарплата в рублях, долларах США или криптовалюте.
- Всего два этапа – беседа с HR и интервью с будущим руководителем.
- Удалённо из любой точки мира или в офисах в Маниле (Филиппины), Хошимине (Вьетнам), Гургаоне (Индия), Москве или Ростове-на-Дону.
- 7 оплачиваемых day-off в год.

Контакты: @anastasija_zm

Senior Application Security Engineer, TaxDome

Salary: $4,000 – $6,000

Format: remote-first

Tech stack:
Ruby on Rails · TypeScript · React · GitHub Actions · SAST · DAST · SCA · IAST · AWS · Docker · Kubernetes · BSIMM · OWASP · CI/CD

Who we're looking for:
— 5+ years of software engineering or DevOps experience
— 3+ years in Application Security
— Strong knowledge of OWASP Top 10, CWE, threat modeling
— Ability to perform manual code reviews in Ruby/TypeScript
— Experience integrating security tools into CI/CD
— Strong communication skills and ability to work closely with developers
— Self-driven, proactive, and comfortable owning the AppSec roadmap

What you’ll be doing:
Program & Strategy:
— Building and maturing the AppSec program using BSIMM
— Leading threat modeling sessions and secure design reviews
— Setting security standards, policies, and best practices

Tooling & Automation:
— Selecting and managing AppSec tools (SAST/DAST/SCA/IAST)
— Integrating security checks into CI/CD pipelines
— Automating developer-friendly security workflows

Collaboration & Enablement:
— Guiding developers through vulnerability remediation
— Running a Security Champions program
— Supporting incident response with application-layer expertise

Why this role matters
You’ll define how security is built into a fast-growing SaaS platform — shaping the strategy, tooling, processes, and culture across engineering.

Contact: @inessavasilyeva

Application Security Аналитик, Cloud.ru

ЗП: от 150к до 350к на руки (обсуждается по итогам интервью)

Уровень: middle, middle+, senior
Локация: РФ
Формат работы: удалёнка/гибрид/офис
Занятость: фулл-тайм

Обязанности:
-Взаимодействовать с командами аналитики и разработки для анализа бизнес требований и их влияния на защищенность продукта;
-Моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
-Анализировать возможность мошеннических действий и уязвимостей в бизнес логике приложений;
-Контролировать устранение уязвимостей и взаимодействовать с командой разработчиков с целью устранения проблем безопасности.

Будет плюсом:
-Умение анализировать исходный код на предмет наличия уязвимостей;
-Умение читать код на различных языках программирования.

Требования:
-Знание подходов по оценке уязвимостей и анализу рисков;
-Опыт построения модели угроз;
-Понимание актуальных угроз информационной безопасности, базовые знания о методах атак и уязвимостях, желание обучаться и повышать компетенции в области практической информационной безопасности.

Контакты: @samarov_a

Senior Security Engineer (Infrastructure), GDEV

ЗП: до 7000 евро на руки

Формат: офис на Кипре, в Армении или Казахстане, гибрид или полная удаленка

Задачи:
- Внедрять и улучшать контроли на уровне AWS EKS (kyverno, ролевая модель, мониторинг).
- Управление правилами и администрирование AWS WAF, Akamai WAF.
- Анализ конфигураций и уязвимостей на разных уровнях инфраструктуры (AWS, EKS, AI, IaC, IAM, on-prem) и заведение задач.
- Интегрировать инструменты SAST, SCA, Secret detection и анализировать результаты сканирования.
- Оценивать архитектуру решений с точки зрения безопасности.
- Коммуницировать с командами по архитектурным решениям, устранению уязвимостей.
- Совершенствовать процессы кибербезопасности за счёт автоматизаций, внедрения средств AI, повышения осведомленности.

Важно:
- Опыт работы на аналогичной должности от 5 лет.
- Умение писать и анализировать IaC и манифесты k8s, kyverno.
- Наличие практики в атакующей безопасности и знание современных векторов атак включая облачные технологии, AI, k8s.
- Знание современных практик и инструментов DevOps, GitOps
- Опыт работы c Akamai WAF, AWS WAF.
- Опыт настройки и интеграции инструментов SAST, SCA, Secret detection.
- Инициатива по доставке решений безопасности, выявлению новых уязвимостей, слабых конфигураций, угроз и рисков.
- Уверенный и смелый пользователь инструментов AI (GPT, MCP, n8n, cline, Cursor).
- Умение объяснить, презентовать и защитить сложные концепции на понятном языке.
- Умение работать над задачами самостоятельно в течение всего цикла (постановка, оценка, исследование, принятие решения, выбор из нескольких равновероятных вариантов, реализация, презентация, документирование, закрытие).

Контакты: telegram @yanaosetrova

DevSecOps, Zecurion

ЗП: 200-500к, net/gross зависит от опыта.

Локация: Москва, м. ВДНХ.
Формат: Полная занятость с гибридным графиком.

Под звездочкой: коробочное решение и C++, так же, серьезным сеньорам с амбициями до СТО пока интерес предложить не сможем(надо учитывать).

Задачи:
- Внедрение новых инструментов и практик DevSecOps, интеграция с системами разработки, автоматизация онбординга команд и поддержка непрерывного контроля защищенности приложений.
- Встраивание инструментов безопасности в DevOps процессы, настройка Security Gates, CI/CD пайплайны и автоматизация сканирований.
- IaC-проверки, управление секретами, мониторинг безопасности в рантайме, взаимодействие с разработчиками и устранение рисков в продакшене.

Мы ожидаем:
- Уверенное владение Linux, Docker, инструментами CI/CD.
- Понимание принципов DevSecOps, владение инструментами включая SAST, DAST, SCA и IAST.
- Способность самостоятельно определять и соблюдать установленные сроки задач.

Контакты: @MaryMiro_nova

Senior DevSecOps Engineer, Axevil Capital

ЗП: $3 000 / 300 000 ₽ (USD или RUB - на выбор)

Формат работы: Remote, full-time

Axevil Capital — цифровая private equity платформа для профессиональных инвесторов.
$100+ млн инвестиций, 1000+ инвесторов, портфель: Klarna, Stripe, Databricks, Kraken, Scale AI, Circle, SpaceX.

Задачи:
1. Инфраструктура и DevOps
- Эксплуатация и развитие Kubernetes-кластера (Helm, RBAC, NetworkPolicies, ingress/egress, lifecycle нод)
- Проектирование и поддержка CI/CD пайплайнов в GitLab CI
- Автоматизация и IaC: Ansible, Python/Bash
- Контейнеризация: Docker, сборка и публикация образов
- Виртуализация на базе VMware
- Мониторинг и логирование: ELK Stack, Prometheus, Grafana
- Управление секретами: Vault / SealedSecrets / GitLab secrets
2. Security / DevSecOps
- Внедрение SAST / DAST / SCA
- Контроль безопасности образов и зависимостей
- Policy-as-code (OPA / Kyverno), admission controllers
- Безопасные деплои: image signing, канареечные релизы
- Анализ уязвимостей и сопровождение их исправлений
- Участие в аудитах, рекомендации для dev-команд, security awareness
3. Безопасность на уровне компании
- Роль security-лидера и развитие культуры безопасности
- Проектирование и контроль IAM / SSO / ролевых моделей доступа
- Аудит прав доступа к критичным системам
- Разработка политик, регламентов и процедур безопасности
- Взаимодействие с руководством по вопросам рисков и compliance
- Работа с внешними подрядчиками (пентестеры, аудиторы)

Требования:
- Высшее профильное образование (Математика, Computer Science и тп) + дополнительная квалификация в области Cybersecurity (курсы, повышение квалификации и тп).
- Опыт работы на аналогичных позициях от 4 лет.
- Опыт с Kubernetes и CI/CD
- Python и/или Bash, Ansible
- Понимание DevSecOps, OWASP, MITRE ATT&CK
- Самостоятельность и ответственность

Подробное описание вакансии по ссылке

Контакты: резюме в Telegram @Artemduz

AppSec-инженер, Банк

ЗП: до 350 т.р. gross (можно обсудить индивидуально на собеседовании)

Локация: Екатеринбург
Опыт: 3-5 лет.

Ищем опытного AppSec-инженера, который готов обеспечивать анализ уязвимостей и участвовать в разработке архитектуры системы защиты на разных этапах разработки.

Чем вы будете заниматься:
• Определение угроз безопасности информации (списки актуальных атак в том числе), обоснование необходимости защиты информации. Разработка архитектуры системы защиты;
• Разработка структуры и содержания проектной и рабочей документации, определяющей технические и организационные платформенные решения, компоненты ИТС для обеспечения ИБ;
• Рассмотрение проектной и рабочей документации компонентов ИТС в части соответствия установленным требованиям ИБ;
• Разработка мер защиты информации для бизнес-процессов перевода денежных средств, совершения и сопровождения операций на финансовых рынках, обработки ПД;
• Проведение оценки защищенности прикладных платформ, компонентов ИТС (тестирование на проникновение и выявление известных уязвимостей);
• Участие в подготовке тест-кейсов для автоматического тестирования функций подсистемы ИБ.

От кандидата ожидаем:
• Навык безопасной разработки (AppSec, DevSecOps, SSDLC), понимание принципов работы, систем и технологий виртуализации (XEN, VMware, KVM);
• Опыт противодействия угрозам ИБ и работы с уязвимостями приложений (OWASP Top 10, CWE Top25, СТРК ФСТЭК, УБИ ФСТЭК). Знание стандартов и нормативных документов ИБ;
• Понимание технологий и принципов построения системы защиты информации. Опыт приемки автоматизированных систем, участие в проектной деятельности по предметной области;
• Опыт работы со встроенными механизмами обеспечения ИБ в ОС Windows, Linux;
• Знание принципов и методологий жизненного цикла ИТ-решений, знание основ документирования ИТ-решений;
• Базовое знание ЯП (Java, Go, JS, C#, Python);
• Опыт работы с инструментами CI/CD, системами оркестрации и контейнеризации (Docker, Kubernetes)

Контакты: @hr_nsk28

DevSecOps / Security Platform Engineer

Salary: from $5K

We’re looking for a hands-on DevSecOps / Security Platform Engineer to build and own security infrastructure in regulated environments. This is not a policy-only role — you’ll implement real controls that pass HIPAA, SOC 2, and SAMA CRFR audits.

What you’ll do:
Build SIEM/logging, EDR/XDR, alerting & detection
Secure IAM (RBAC, MFA, JML automation)
Implement audit-ready controls & automate evidence
Integrate security into CI/CD (SAST, SCA, secrets, IaC)
Handle incident response & cloud security
Work with AWS/Azure (US) and Huawei Cloud (KSA)

What we’re looking for:
6–10+ years in DevSecOps / Security Engineering
Strong hands-on cloud, IAM, network & CI/CD security
Experience with HIPAA, SOC 2, or regulated environments
Builder mindset (implementation > paperwork)

Why join:
Own security end-to-end, work with regulators & enterprises, build a real security platform.

Contact: @mukhser

Инженер внедрения (DevSecOps), Ximi Lab

ЗП: до 320 000 ₽ на руки

Формат работы: удалённо
Занятость: полная
Город: Москва

Ximi Lab — лаборатория цифровых технологий и разработчик продуктов в области информационной безопасности.
Компания выросла из стартапа в крупного вендора с международным признанием.

Чем предстоит заниматься:
— Внедрение решений в области информационной безопасности (направление DevSecOps);
— Запуск и настройка продуктов в контуре заказчика;
— Обследование инфраструктуры клиентов;
— Участие в рабочих встречах и presale-активностях;
— Техническая поддержка на этапе внедрения и сопровождение заказчиков;
— Участие в развитии внутренней инфраструктуры компании.

Мы ожидаем:
— !Опыт работы от 2 лет;
— !Понимание методов ИБ в процессах разработки и эксплуатации ПО;
— Знание DevSecOps-инструментов (commercial + opensource);
— Опыт работы с defect trackers;
— Docker и контейнерные технологии;
— Git, Linux, PostgreSQL;
— CI/CD системы;
— !Kubernetes, Helm;
— Ansible, Terraform;

Контакты: Telegram @lishersh

Инженер DevSecOps, Орпо

ЗП: до 300 000 ₽ на руки

Формат работы: удалённо
Занятость: полная
Город: Казань

Орпо – это компания, работающая в FinTech отрасли.
Наша команда запускает IT проекты с мировым масштабом.

Чем предстоит заниматься:
— Встраивать и развивать SSDLC-практики в CI/CD пайплайны продуктовых команд;
— Внедрять и сопровождать инструменты (SAST / SCA / Secret scanning, Container & IaC scanning);
— Проводить R&D в области AppSec и DevSecOps: тестировать новые инструменты, подходы и best practices;
— Улучшать процессы безопасной разработки, снижать time-to-fix уязвимостей;
— Формировать и внедрять KPI и метрики SSDLC (coverage, MTTR, false positives, security gates);
— Помогать командам разработки писать и деплоить более безопасный код;
— Участвовать в реагировании на security-инциденты и post-mortem анализе.

Мы ожидаем:
— !Опыт работы от 2 лет;
— !Практический опыт DevSecOps-подхода от года;
— Опыт работы с SAST-инструментами и понимание особенностей сканирования разных языков (С# / GO / Next.js + React.js);
— Опыт работы с уязвимостями в зависимостях (SCA) (понимание CVE, CVSS, умение формировать и анализировать SBOM);
— Уверенные навыки автоматизации на С# / GO;
— Хорошее понимание GitLab CI (yaml): (организация пайплайнов, встраивание security-чеков без блокировки бизнеса);
— Понимание принципов secure-by-design и shift-left security.

Контакты: Telegram @TOPfintech_hr

Kingston Stanley’s Salary Survey 2026 for the UAE

Application Security TechLead

ЗП: 6.000 - 10.000 €

Подчиненных: 5-6 человек

Мы — кадровое агентство match.one, и один из наших основных клиентов — компания 01.tech, которая создает инновационные и захватывающие продукты с уникальными функциями, меняющие индустрию.
Сейчас компания развивает направление AppSec и мы ищем специалиста, который поможет вывести процесс ревью безопасности архитектуры на новый уровень.

Почему эта роль важна?
В продукте уже более 100 миллионов пользователей по всему миру, имеют развитые процессы обнаружения, исправления и предотвращения уязвимостей. В связи с расширением открыта роль TechLead в команду AppSec Standard Service Team.
Цель команды: предоставить качественный сервис по стандартным задачам Application Security.

Задачи и зона ответственности:
- Стандартизация и выравнивание с бизнес-потребностями процессов Application Security;
- Развитие зрелости процессов: Threat Assessment, Security Architecture Review, Vulnerability management, Security Audit;
- Контроль процессов и ключевых показателей команды;
- Эскалация не стандартных кейсов в product owner и product CTO;
- Оптимизация процессов командной работы;
- Адаптация процессов под распределенную команду: контроль загрузки, автоматизация рутинных задач;
- Внедрение инструментов самообслуживания для продуктовых команд (self-service).

Основные требования:
- От 6 лет работы в CyberSecurity;
- Опыт проведения ревью безопасности архитектуры;
- Понимание архитектуры современных высоконагруженных систем на уровне близком к позиции архитектора;
- Опыт общения с CTO и владельцами бизнеса, обсуждения рисков, поиска компромисов;
- Понимание лучших практик управления командой;
- Развитые навыки коммуникации;
- Опыт разработки на любом языке программирования;
- Навык поиска уязвимостей в веб-приложениях.

Будет плюсом опыт:
- В компаниях с высоким уровнем зрелости процессов vulnerability management и application security;
- Анализа исходного кода для выявления уязвимостей;
- Участия в CTF и Bug Bounty;
- Разработки веб-приложений и автоматизации собственной деятельности;
- Обеспечения безопасности K8s \ Linux \ облачной инфраструктуры (MS, GCP, AWS);
- С DeFi и криптографией используемой в блокчейн проектах.

Контакты: @HR_yuliana

AppSec Engineer / DevSecOps

ЗП: до 320 000₽ на руки

Формат работы: удалённо (по РФ)
Занятость: полная

Мы - крупнейший системный интегратор со своим центром инноваций: создаем безопасную среду разработки внутри компании и упаковываем эту экспертизу в продукты для крупных заказчиков.

Чем предстоит заниматься:
▫️ Внедрять практики Security by Design в продуктовые команды и выстраивать SSDLC.
▫️ Развивать и кастомизировать инструменты безопасности (SAST, DAST, SCA, Secrets detection), связывая их в единую платформу на базе DefectDojo.
▫️ Писать ботов и скрипты для GitLab CI для автоматизации проверок.
▫️ Проводить Security Code Review и разбирать результаты сканирования (отсеивать False Positives).

Наш идеальный специалист:
▫️ Глубоко понимает OWASP Top 10 и принципы безопасной разработки.
▫️ Имеет опыт работы с инструментами: Semgrep, Gitleaks, Dependency Track, OWASP ZAP/Burp Suite.
▫️ Умеет автоматизировать рутину через API и писать скрипты (Python/Go/Bash).
▫️ Понимает технологии контейнеризации и CI/CD пайплайны.

Будет большим плюсом (не обязательно):
▫️ Навыки поиска архитектурных ошибок.
▫️ Экспертиза в Mobile Security.
▫️ Понимание стандартов (PCI DSS, ГОСТ Р 57580) с фокусом на техническую реализацию.

Контакты: @code_ka

Application Security Business Partner, EMCD (emcd.io)

ЗП: в рамках 6к$

Локация: удалённо
Формат: full-time

EMCD - международная крипто-финтех компания и один из крупнейших майнинг-пулов в мире, развивающая продукты в области трейдинга, обмена и Web3. Ищем security-специалиста, который будет работать внутри продуктовых команд и влиять на безопасность решений в юните.

Почему это может быть интересно:
— сложная и живая доменная область: crypto / exchange / fintech
— опыт, который реально котируется на международном рынке
— роль партнёра бизнеса: влияние на решения и процессы, а не просто чек-листы

Что предстоит делать:
— Работать с несколькими командами разработки по вопросам безопасности приложений
— Анализировать бизнес-требования и их влияние на security
— Проводить security review архитектуры, кода и релизов
— Взаимодействовать с DevSecOps по внедрению security-сканеров в CI/CD

Что важно:
— Опыт в application security от 3-х лет.
— Понимание OWASP Top 10 / OWASP Mobile Top 10 / CWE Top 25
— Знание стандартов app security (OWASP ASVS, WSTG и т.д.) и умение применять их на практике
— Понимание инфраструктуры, контейнеризации и связанных security-рисков
— Опыт работы с микросервисной архитектурой и её защитой
— Опыт разработки на Go / Python / JS - большой плюс

Контакты: @AlesyaPS

AppSec Engineer

Компания: Леста Игры
Занятость: полная

Леста Игры разрабатывает игровые проекты в различных жанрах, смело экспериментирует с инструментами и технологиями.

Мы делаем игры, которые стали настоящим культурным феноменом: «Мир танков», «Мир кораблей», Tanks Blitz, Royal Quest, а также работаем над новыми перспективными проектами.

Сейчас мы расширяем команду ИБ и активно ищем Application Security Engineer.🤗

Задачи:

- Поддержка и развитие процессов безопасной разработки.

- Проведение аудитов безопасности и ревью продуктовых сервисов и приложений.

- Разработка продуктовых требований по безопасности.

- Автоматизация рутинных задач и разработка инструментов.

- Разбор отчётов в программах Bug Bounty.

- Помощь разработчикам в выборе безопасных решений и написании безопасного кода.

Мы ожидаем:

- Опыт работы в области Application Security и/или DevSecOps от двух лет.

- Понимание причин возникновения и способов устранения/митигации распространённых уязвимостей (OWASP Top 10, OWASP Mobile Top 10, CWE Top 25).

- Понимание современного цикла разработки, процессов, практик и инструментов для обеспечения безопасности приложений.

- Опыт анализа защищённости веб- и мобильных приложений.

- Навыки работы и выстраивания процессов с распространёнными классами инструментов DevSecOps (SAST, SCA, DAST и т. п.).

- Владение одним из языков программирования: JS, Go, PHP, .Net, C#, C++, Python.

Что мы предлагаем:

- Работу в аккредитованной IT-компании.

- Расширенный полис ДМС.

- Доплаты по больничным листам и days off.

- Тренажёрный зал и душевые в офисе.

- Компенсацию спорта.

- Компенсацию питания.

- Подарки и выплаты сотрудникам на значимые даты (первый день в компании, день рождения, свадьба, рождение детей).

- Комнаты отдыха с настолками, приставками, игровыми автоматами/столами.

- Релакс-зоны с массажными креслами Yamaguchi и топовыми кофемашинами.

- От 500 до 1000 ед. игрового золота на ваш аккаунт в игре ежедневно.

- Гибкое начало дня: приходим в офис с 8 до 11, уходим с 17 до 20.

Контакты: @nika_yes99