Ведущий инженер/AppSec

Обязанности: анализ ПО и исходного кода на наличие уязвимостей, в том числе с использованием специализированных инструментов (Positive Technologies Application Inspector (PTAI), MaxPatrol, AppScreener, CodeScoring, Dependency Track, RedCheck, Trivy, Grype; инструменты класса песочница и другие); анализ, валидация и верификация выявленных уязвимостей, выработка

Компенсационных мер; развертывание виртуальной инфраструктуры для анализа ПО и исходного кода: серверов, рабочих мест, СУБД, WEB-сервисов и др.; применение знаний об основных угрозах ИБ, методах и способах их устранения, в частности практическое применение этих знаний при настройке параметров ИБ операционных систем (Windows, Linux), сетевого оборудования, средств защиты информации; применение методологии и практик безопасной разработки, систем автоматизации и непрерывной поставки ПО; анализ и рассмотрение документации на предмет соответствия требованиям ИБ. Требования: высшее техническое образование; приветствуются сертификаты Cisco CCNA, CCNP или аналогичные; релевантный опыт работы от 2-х лет; знание в области анализа ПО и исходного кода на наличие уязвимостей;  знание процессов безопасной разработки (в том числе оркестрации и контейнеризации), тестирования и внедрения ПО (в том числе в рамках DevSecOps);  наличие базовых знаний в области сетевых технологий - VPN, NAT, VLAN, ACL, BGP, OSPF; опыт разворачивания и администрирования ОС семейства Windows и Linux, в том числе в части настроек и политик безопасности; опыт разворачивания и администрирования систем виртуализации (VMware, OpenStack);  наличие базовых знаний СУБД Oracle, SQL Server, PostgreSQL; опыт организации и защиты взаимодействия через API;  опыт работы с системами контроля версий; применение инструментов и методов композиционного (SCA), статического (SAST), динамического анализа (DAST) и фаззинг-тестирования; примененияе методологий и метрик MITRE/CVE/OWASP, а также других метрик в области безопасности ПО и кода, в частности используемые ФСТЭК; опыт работы с SIEM решений и DLP систем (Splunk; SmartMonitor; MaxPatrol и пр.); знание безопасных протоколов аутентификации, IAM систем и систем хранения секретов, обеспечения защищенного API при их использовании (Kerberos, технологии SSO, OAuth, OIDC, SAML; продукты Keycloack, HashiCorp и др).