AppSec-инженер в MAX, Москва

Мы разрабатываем крупнейший мессенджер в России, чтобы соединять людей, сервисы и компании. Наша миссия — создавать простые и удобные инструменты коммуникации.

Ищем в команду опытного инженера Application Security для поддержки и развития процессов безопасной разработки.

Задачи

• Внедрять и развивать процессы Security SDLC: интегрировать проверки безопасности на всех этапах разработки — от проектирования (Security Champions, Threat Modeling) до запуска в продакшен (Pentest, Bug Bounty)
• Работать со статическим и динамическим анализом кода (SAST/DAST): использовать автоматизированные инструменты сканирования, проводить триаж и формулировать рекомендации по устранению уязвимостей 
• Проводить экспертные code review: анализировать исходный код на предмет уязвимостей (OWASP Top 10, CWE)
• Осуществлять пентест и исследования: проводить ручное тестирование безопасности веб-приложений, мобильных приложений и API 
• Участвовать в программах Bug Bounty 
• Консультировать команды: тесно работать с разработчиками, архитекторами и DevOps-инженерами, объяснять уязвимости, помогать в поиске лучших способов их устранения, проводить воркшопы 
• Управлять уязвимостями: классифицировать, приоритизировать и контролировать устранение найденных уязвимостей 
• Разрабатывать безопасные стандарты: создавать и внедрять чек-листы, гайды и лучшие практики (Secure Coding Guidelines) для разработчиков

Требования

• Опыт работы на позиции AppSec Engineer, Security Developer или пентестера веб-приложений от двух лет
• Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей
• Опыт работы с одним или несколькими инструментами SAST/DAST/SCA (Burp Suite, OWASP ZAP и так далее)
• Умение читать и понимать код на одном из языков программирования (например, Python, Go, Java, JavaScript)
• Знание основных протоколов и технологий: HTTP/HTTPS, SSL/TLS, REST API, JSON Web Tokens (JWT)
• Понимание принципов работы современных CI/CD-систем (GitLab CI, GitHub Actions, Jenkins)
• Способность понятно объяснять сложные концепции безопасности разработчикам
• Желание автоматизировать рутину и постоянно учиться новому

Будет плюсом

• Опыт проведения Threat Modeling
• Навыки в области облачной безопасности
• Знание контейнеризации (Docker, Kubernetes) и принципов DevSecOps
• Наличие публичных работ (статьи, доклады, выводы CVE) или участие в Bug Bounty программах и конференциях
• Соответствующие сертификации (OSCP, OSWE, GWEB, CSSLP и другие)