Мы - Компания IT_One, стратегический партнер по цифровизации российского бизнеса и государственных органов. Наша команда реализует крупнейшие проекты цифровой трансформации. Собрали большую команду, в которой сочетаются профессионализм, опыт и молодость. Более 2500 сотрудников. Офисы в Москве, Санкт-Петербурге и Омске. Сейчас мы в поиске Application Security Engineer.
Обязанности
*
Обязательные требования
1. Опыт практической работы в области AppSec не менее 3 лет, включая самостоятельное проведение аудитов безопасности веб-приложений, API и мобильных приложений.
2. Глубокое знание актуальных векторов атак: OWASP Top 10, OWASP API Security Top 10, CWE, SANS Top 25. Способность не только называть, но и объяснять механику эксплуатации и методы защиты.
3. Практический опыт работы с инструментами SAST (Semgrep, Checkmarx, SonarQube или аналоги) и DAST (Burp Suite Professional, OWASP ZAP, Nuclei). Опыт написания кастомных правил или шаблонов — обязателен.
4. Опыт работы в процессах Secure SDLC: участие в threat modeling, security review архитектуры, ревью кода с точки зрения безопасности.
5. Умение читать и анализировать код на одном или нескольких языках из стека: Java, Python, Go, Kotlin, JavaScript/TypeScript. Знание характерных для каждого языка паттернов уязвимостей.
6. Понимание архитектуры микросервисов, REST/gRPC API, контейнеризации (Docker, Kubernetes) и CI/CD-пайплайнов с точки зрения безопасности.
7. Опыт работы с ASOC-платформами или системами управления уязвимостями (AppSec.Hub, Шерлок, DefectDojo или аналоги).
8. Способность самостоятельно писать техническую документацию на русском языке: отчёты по аудитам, threat model, security notes, описания уязвимостей.
9. Умение писать правила для WAF на основе анализа уязвимостей и имеющих актуальных угроз
Будет плюсом
• Наличие сертификации по направлению информационной безопасности: CEH, OSCP, CREST Certified Tester (CT), CREST Web Application Penetration Testing Certification (CRT) или аналогичных практических сертификатов в области AppSec / пентестинга.
• Опыт построения или участия в AppSec-программе: Security Champions, Security Requirements, интеграция безопасности в SDLC.
