Application security-инженер / AppSec

Дата размещения вакансии: 13.11.2024
Работодатель: МТС
Уровень зарплаты:
з/п не указана
Город:
Москва
Требуемый опыт работы:
От 1 года до 3 лет

МТС – это мультисервисная цифровая экосистема.
Мы создаем и развиваем сервисы в сфере мобильной связи, больших данных, искусственного интеллекта, облачного хранения, медиа и финансов – все они делают жизнь людей проще и интереснее.

Мы ищем Application Security-инженера для работы в команде контроля проверок безопасного кода, окружения и анализа ПО.

Чем предстоит заниматься:

  • обработка выявленных уязвимостей кода и окружения в ходе разработки и эксплуатации приложений компании;
  • проведение проверок SAST, SCA, DAST, верификация результатов, проведение аудитов безопасности сервисов;
  • консультирование разработчиков по устранению уязвимостей , контроль устранения выявленных уязвимостей;
  • проверка ПО на ошибки, закладки, известные уязвимости патчей/релизов/платформ/сервисов/взаимодействий со сторонними (внешними) партнерами;
  • подготовка заключений по возможности безопасного использования ПО на продуктиве;
  • проведение проверок системного ПО (ОС Win/*nix, OpenSSL, OpenSSh и т.п.), прикладного ПО (БД Postgresql/mysql/oracle, web-сервера nginx/apache/tomcat, ELK и т.п.), критических обновлений безопасности.

Что мы ждем от кандидата:

  • знание векторов атак на веб-приложения, ИТ-инфраструктуру, сети;
  • понимание принципов атак на информационные системы с использованием уязвимостей из OWASP-top 10
  • понимание принципов CI/CD, контейнеризации и оркестрации (Docker, Kubernetes, Gitlab и пр.);
  • опыт проведения анализа защищенности веб-приложений (Black Box White Box, Grey Box);
  • понимание принципов работы систем аутентификации и авторизации (OAuth 2.0, SAML, 2FA);
  • знание Bash, Python, Go или любого другого средства скриптовой автоматизации;
  • опыт работы со сканерами уязвимостей (Burp Suite, Netsparker, Acunetix);
  • знание наиболее распространненых клиентских и серверных уязвимостей (XSS, CSRF, CSTI, clickjacking , CRLF injection, Open redirect, RCE, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, SSRF);
  • умение читать код и выявлять ошибки.

Что мы предлагаем:

  • медицинская страховка с доступом в частные клиники и 100% покрытием расходов, включая стоматологию. Можно застраховать близких родственников на льготных условиях. Для любителей путешествий – страховка в поездках за границу. А еще есть страхование жизни;
  • корпоративная мобильная связь и интернет для сотрудников, а для близких – на выгодных условиях;
  • компенсация расходов на спорт;
  • обучение в Корпоративном университете, у внешних провайдеров, если это полезно для работы, а также доступ к онлайн-библиотеке с полезными книгами и периодикой;
  • единая подписка МТС Premium – KION Lite в онлайн-кинотеатре KION, сервис МТС Music, 30 дней бесплатного пользования подпиской OZON Premium;
  • предложения от партнёров для путешествий, развлечений и занятий спортом;
  • возможность участия в волонтерских программах: мы помогаем детям из детских домов, учим пенсионеров безопасному поведению в интернете, сдаем кровь, очищаем парки от мусора и многое другое;
  • удобный формат работы: пятидневная рабочая неделя с пн по пт, а удобное время начала и окончания рабочего дня можно согласовать с руководителем;
  • отпуск 28 календарных дней + 3 дополнительных дня за ненормированный рабочий день;
  • гибридный формат работы.