AppSec инженер — статический и динамический анализ@ Центр Биометрических Технологий
О позиции
Компания Центр Биометрических Технологий ищет AppSec инженера для выполнения статического и динамического анализа приложений. Ваша задача будет заключаться в проведении анализа безопасности и выявлении уязвимостей в приложениях. Вы будете работать в гибридном формате, что позволит вам сочетать работу из офиса и удалённо.
Чем вы будете заниматься
- Проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов.
- Разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей.
- Участвовать в проработке и согласовании архитектуры приложений с точки зрения информационной безопасности, проводить Threat Modeling (STRIDE, OWASP).
- Выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP.
- Внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM.
- Интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Go или Bash.
- Разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep).
Требования
- Высшее образование в сфере информационной безопасности.
- Опыт работы инженером AppSec или DevSecOps от 2 лет.
- Практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM.
- Опыт работы с DAST (OWASP ZAP или аналогами).
- Знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Go, Python, JavaScript/TypeScript).
- Опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management.
- Глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения.
- Понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups).
- Опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD.
Что мы предлагаем
- Конкурентная заработная плата от 250 000 до 350 000 ₽ в месяц.
- Гибридный формат работы, позволяющий сочетать удалённую работу и работу в офисе.
- ДМС и возможность обучения за счёт компании.
- Работа в команде профессионалов с возможностью карьерного роста.
- Участие в интересных проектах в области информационной безопасности.
- Современный офис в центре Москвы с комфортными условиями труда.
Вакансия предлагает хорошую зарплату и интересные задачи в области информационной безопасности. Требования к опыту и навыкам соответствуют современным стандартам.
Кто здесь добьётся успеха
Глубокое понимание методов статического анализа (SAST) и динамического анализа (DAST), включая опыт работы с инструментами OWASP ZAP и HashiCorp Vault.
Способность эффективно работать в гибридном формате, демонстрируя самодисциплину и высокую степень автономии при выполнении задач как в офисе, так и удаленно.
Опыт разработки на языках Python, Go, Java и JavaScript, что позволяет не только выполнять анализ кода, но и вносить изменения для повышения безопасности приложений.
Ресурсы для обучения
Карьерный путь
Обзор рынка
Навыки и требования
Тренды отрасли
Новости Cybersecurity
Загружаем новости отрасли...
Ищем релевантные статьи за последние 6 месяцев