Наша распределенная команда Dev насчитывает более 800 специалистов и разрабатывает собственные продукты с 2012 года – рекламные платформы, игровые сервисы и платформы, мобильные игровые приложения, финтех-продукты и решения.
У нас проектно-ориентированный подход, матричная структура с привязкой специалистов к одному проекту, но при этом мы работаем командой. В работе мы применяем SCRUM, Agile.
Мы ищем опытного специалиста по безопасности приложений с практическим опытом не менее 6 лет, который будет отвечать за оценку безопасности веб и мобильных приложений, аудит исходного кода, внедрение безопасных практик разработки и поддержку процессов DevSecOps. Нам нужен кандидат, который умеет находить уязвимости, работать с командами разработки для их устранения и внедрять инструменты автоматизированного анализа безопасности.
Обязанности:
- Анализ безопасности веб-приложений, мобильных приложений и API.
- Проведение аудита исходного кода и CI/CD-процессов на предмет уязвимостей.
- Внедрение и сопровождение инструментов SAST, DAST, IAST, SCA.
- Разработка и внедрение безопасных практик и стандартов разработки (например, OWASP Developer Guide).
- Поддержка процесса управления уязвимостями: триаж, приоритизация и координация исправлений с разработкой.
- Участие в основных security-активностях в процессе разработки: сбор требований по безопасности, моделирование угроз, оценка рисков, аудит исходного кода.
- Обучение и консультирование команд разработчиков по вопросам безопасного кода и архитектуры.
- Участие в оценке архитектуры новых приложений и решений с точки зрения безопасности.
Требования:
- Опыт работы в области Application Security не менее 5–6 лет.
- Глубокие знания уязвимостей веб-приложений (OWASP Top 10, RCE, SSRF, XSS, SQLi, LFI/RFI и др.).
- Опыт работы с инструментами SAST, DAST, IAST, SCA.
- Умение проводить аудит исходного кода как минимум на одном из основных языков (PHP, Java, Python, JavaScript/TypeScript, Go, .NET и др.).
- Понимание DevOps и CI/CD процессов, интеграции security-инструментов.
- Навыки написания скриптов и автоматизации (Python, Bash, PowerShell — желательно).
- Понимание и практический опыт применения SSDLC методологий (OWASP SAMM, BSIMM, Microsoft SDL).