СберАвто

Application security specialist

1w ago
RussiaSeniorB1
СберАвто

Application security specialist

1w ago
RussiaSeniorB1astiastraspowasp asvsowasp wstgvulnerability managementosascawaf+4

Вакансия Application security specialist в компании СберАвто на уровне Senior с фокусом на анализ уязвимостей, код-ревью и безопасность веб-приложений.

About the company

  • Участие в амбициозном проекте экосистемы Сбер
  • Работа в команде профессионалов, реализация идей по улучшению сервиса

Responsibilities

  • Ручной анализ точек входа в приложение и анализ защищенности , проведение работ по анализу безопасности сервисов
  • Проведение код-ревью
  • Тюнинг {S,D,I}AST и RASP
  • Vulnerability management (в части SSDLC)
  • Анализ зависимостей (OSA / SCA)
  • Контроль за соблюдением Security Requirements
  • Оптимизация правил WAF
  • Шаринг знаний с Ops/DevOps
  • Коллаборация с продуктовыми командами в области безопасности приложений, включая моделирование угроз, работы по устранению уязвимостей и обзоры рекомендаций по безопасности приложений
  • Разработка автоматизаций тестирования, реализация регресс тестов по КБ
  • Поддержка программы Bug Bounty (триаж найденных уязвимостей)
  • Поддержка подготовки релизов по безопасности

Requirements

  • Опыт работы на аналогичной позиции (или с аналогичным функционалом) не менее трёх лет
  • Знание основных видов уязвимостей веб-приложений и методов их устранения
  • Знание стандартов OWASP ASVS и WSTG
  • Знание и опыт применения основных инструментов для анализа уязвимости веб-приложений, владение навыками ручного и автоматизированного тестирования безопасности веб-приложений с помощью инструментов {S,D,I}AST
  • Понимание принципов безопасной разработки ПО
  • Владение одним из языков программирования
  • Умение работать в командной строке и базовые знания Linux
  • Английский язык на уровне чтения документации
  • Знание и способность объяснить распространенные недостатки безопасности приложений и способы их устранения (например, OWASP Top 10 (App/Web/Api))

Nice to have

  • Опыт участия в CTF и BugBounty
  • Понимание принципов SSDLC и DevSecOps
  • Понимание стандартов MASVS и MSTG
  • Умение логично, точно, связанно и аргументированно излагать свои мысли и идеи
  • Базовый опыт и навыки разработки сценариев для тестирования предпочтительны Python, Go

Conditions

  • Достойный уровень ежемесячного дохода
  • ДМС + Стоматология
  • Полное соблюдение ТК РФ
  • Материальную поддержку: у нас принято финансово помогать при рождении ребенка или в сложной жизненной ситуации
  • Скидки на фитнес, английский язык
  • Оборудование и другие ресурсы

Found in@cybervacancies_channel