Каждый день миллионы людей смотрят, читают и обсуждают контент в Дзене. Здесь можно всё: снимать видео или короткие ролики, писать статьи или делиться фотографиями в постах.
Перед нашей командой стоят важные задачи: обеспечивать безопасность продуктов Дзен и Дзен Новости. Сейчас мы ищем AppSec-инженера уровня Middle/Senior. 

Задачи

• внедрять методы безопасного кодирования и требования к безопасности приложений;
• проводить проверки безопасности проекта и наставлять команды разработки, используя свой опыт и знания;
• предоставлять рекомендации по устранению уязвимостей и делиться опытом с командами продуктов;
• внедрять методы безопасного кодирования и реализации функциональности защиты на всех этапах разработки;
• разрабатывать и адаптировать практики для обнаружения дефектов безопасности в исходном коде, зависимостях и/или других артефактах;
• формировать и передавать технические знания о шаблонах безопасного проектирования и использования подходов безопасной разработки командам;
• контролировать соблюдение правил безопасного кодирования, используя различные методы, такие как экспертные оценки, статический и динамический анализ кода на безопасность;
• оценивать зрелость безопасности приложений и выдавать рекомендации по улучшению процесса разработки с использованием OWASP SAMM и/или BSIMM;
• выявлять, проектировать и внедрять инструментарий безопасного кода разрабатываемых продуктов;
• оказывать экспертную поддержку и проводить обучение по исправлению уязвимостей, связанных с качеством кода, безопасностью и/или шаблонами и фреймворками.

Требования

• опыт разработки программного обеспечения с использованием одного из языков: Go, Java, Python, C#, JavaScript, C/C++, Swift/Objective-C;
• опыт разработки безопасного программного обеспечения (включая системы в защищённом исполнении (СЗИ), средства защиты информации (СрЗИ, СКЗИ)) — от года;
• знание OWASP Top 10 и CWE 25;
• понимание подходов к обеспечению безопасности приложений, особенно веб-приложений;
• знание методов безопасного кодирования;
• навыки работы с Unix/Linux на уровне системного администратора;
• опыт выявления, исправления и оценки критичности найденных уязвимостей;
• знание подходов проектирования архитектуры и безопасности на основе лучших отраслевых практик;
• знание архитектуры веб-приложений, оценки рисков приложений;
• знание протоколов и структур аутентификации, включая OAuth, OpenID, SSO / SAML;
• опыт работы со средствами контейнеризации.

А также опыт внедрения:

• практик безопасной разработки в SDLC (SSDLC);
• процессов и инструментария для разработки безопасного программного обеспечения;
• практик использования безопасных библиотек и программных фреймворков;
• процесса Patch Management для устранения уязвимостей в коде;
• инструментов SAST, DAST, IAST, SCA — и умение их использовать.

Будет плюсом

• опыт обучения разработчиков безопасному программированию, поиску уязвимостей и правильному их исправлению;
• знания ГОСТ Р 56939-2016 и ГОСТ Р 58412-2019;
• знание протоколов HTTP, TLS и методов защиты веб-приложений.