Центр Биометрических Технологий
AppSec Engineer
5d ago
250000 –350000 RUB / monthRussiaMiddleHybridsastcode reviewthreat modelingowasp zapscasbomgitlab ci/cdpython+15
Вакансия инженера по безопасности приложений в Центре Биометрических Технологий с опытом от 2 лет, включает анализ безопасности приложений, интеграцию проверок в CI/CD и кастомизацию правил анализа кода.
Responsibilities
- Проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов.
- Разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей.
- Участвовать в проработке и согласовании архитектуры приложений с точки зрения ИБ: проводить Threat Modeling (STRIDE, OWASP), выявлять Архитектурные недостатки и аргументированно защищать свою экспертизу перед командами разработки.
- Выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP.
- Внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM.
- Интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Go или Bash.
- Разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep).
Requirements
- Высшее образование в сфере информационной безопасности.
- Опыт работы инженером AppSec или DevSecOps от 2 лет.
- Практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM.
- Опыт работы с DAST (OWASP ZAP или аналогами).
- Знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Go, Python, JavaScript/TypeScript).
- Опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management.
- Глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения.
- Понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups).
- Опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD.
Conditions
- Гибрид
How to apply
- ✈ Откликнуться. (https://getmatch.ru/vacancies/35149-inzhener-po-bezopasnoi-razrabotke-appsec)
Found in@infosec_work