AppSec инженер

HeadHunter — это собственная внутренняя разработка множества проектов. И безопасная разработка - это неотъемлемая часть процессов технического департамента и не только.

Мы ищем опытного Senior Application Security Engineer, который поможет нам развивать практики безопасности приложений, внедрять безопасную разработку и защищать наши продукты от киберугроз.

Вам предстоит работать с DevSecOps-процессами, анализировать безопасность кода и архитектуры, а также развивать культуру безопасности в компании.

Основные задачи:

• Разработка и внедрение процессов безопасной разработки (Secure SDLC).
• Проведение SAST, DAST, SCA и IaC Security-сканирования
• Анализ уязвимостей и разработка рекомендаций по их устранению.
• Взаимодействие с разработчиками, DevOps и другими командами по вопросам безопасности.
• Разработка и внедрение политик AppSec, Secure Coding Guidelines и других стандартов безопасности.
• Проведение тестирования на проникновение в рамках продуктовых фичей в зоне ответственности (вручную и с использованием автоматизированных инструментов).
• Разработка и реализация технических решений для защиты приложений (WAF, RASP, CSP и др.).
• Разработка и автоматизация процессов управления уязвимостями.
• Консультирование по безопасной разработке для Security Champions и разработчиков.

Требования:​​​​

• 3+ лет опыта в области AppSec или DevSecOps.
• Глубокое понимание OWASP Top 10, CWE, SANS 25.
• Опыт анализа уязвимостей и защиты веб-приложений, API, мобильных приложений. Опыт работы с инструментами SAST, DAST, SCA и анализаторами инфраструктурного кода.
• Понимание принципов настройки и внедрения безопасных CI/CD-пайплайнов.
• Опыт работы с языками Java, Python, JavaScript, Go (чтение, анализ кода, выявление уязвимостей).
• Опыт проведения security code review и threat modeling.
• Опыт работы с контейнерами и Kubernetes с точки зрения безопасности.
• Знание современных методов защиты, включая RASP, CSP, JWT, OAuth2, mTLS и др..
• Опыт автоматизации процессов безопасности (Python, Bash, Terraform, Ansible и др.).

Будет плюсом:

• Опыт работы с ASOC-платформами .
• Опыт проведения Red Team, Blue Team, Purple Team упражнений.
• Опыт работы WAF и другими средствами защиты.
• Знание международных стандартов NIST, ISO 27001 и т.п.
• Понимание требований законодательства РФ в области ИБ
• Сертификации OSWE, OSCP или аналогичные.

Мы хотим, чтобы каждый сотрудник был доволен своей работой, поэтому мы предлагаем:

• Гибкий или удаленный график работы.
• Корпоративное ДМС с первого месяца работы (решаем вопросы со здоровьем быстро и удобно).
• Возможность профессионального развития, обучение за счет компании, участие в специализированных конференциях.
• Совместную постановку целей с руководителем и индивидуальный план развития.
• Кофемашина с зерновым кофе, чай, фрукты, йогурты на кухне.
• В офисе есть тренажеры, настольный теннис, кикер, пул, зона виртуальной реальности и массажные кресла.
• Куча корпоративных плюшек.

​​​