Application security engineer

Местоположение и тип занятости

Санкт-ПетербургПолный рабочий день

Компания

Ведущая глобальная компания, оказывающая услуги по формированию digital стратегии и разработке программного обеспечения

Описание вакансии

  • Project Description:Мы - команда энтузиастов Application Security и больше 10 лет помогаем создавать безопасные приложения для крупного телеком провайдера в Европе.
  • Responsibilities:• Формирование требований к безопасности на самом раннем этапе жизненного цикла продукта.
    • Подготовка и написание тестовых сценариев для аудита на основе бизнес-требований и технической документации по проекту и вовлеченным системам.
    • Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов:
    o Статический анализ исходного кода (преимущественно приложения на Java & J2EE, и мобильные приложения под iOS и Android) с помощью таких инструментов, как HPE-MicroFocus Fortify SCA;
    o Динамический анализ и сканирование приложений на наличие уязвимостей с помощью таких инструментов, как Burp Suite, OWASP ZAP;
    o Ручное проведение атак программных на продукты, развернутые на тестовых окружениях;
    • Разработка рекомендаций для разработчиков по устранению выявленных пробелов в безопасности.
    • Оптимизация и автоматизация процесса проведения аудита.
    • Настройка (разработка новых правил) средств статического анализа кода и DAST-сканнеров.
  • Mandatory Skills Description:• Понимание принципов построения и работы современных веб-приложений.
    • Уровень английского: Intermediate.
    • Высшее образование в области IT.
    • Уверенные знания основных концепций информационной безопасности.
    • Уверенные знания дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления.
    • Опыт работы в качестве Application Security Engineer или похожей должности (Penetration testing, etc.) более 2 лет.
    • Уверенные знания языков программирования и разработки скриптов - Java, Python, powershell, bash.
  • Nice-to-Have Skills:• Наличие профильных сертификатов, подтверждающих квалификацию, знания и навыки в области информационной безопасности: OSCP, CEH, OSWE.
    • Знакомство с международными стандартами в области информационной. безопасности и защиты персональных данных: ISO 27XXX, PCI DSS, EUGDPR и др.
    • Знакомство со стандартами, фреймворками из области информационной безопасности и опыт работы с ними: SAML, OAuth, WS-Security, X.509, SAML, JAAS, SSL/TLS, OpenSSO, OpenIAM и др.
    • Опыт участия в CTF или в программах bug bounty.
    • Опыт разработки Web или мобильных приложений.
  • Languages:
    • English: B1 Intermediate

Бонусы

  • Расширенный социальный пакет
  • Программу ДМС
  • Профессиональное обучение и повышение квалификации
  • Льготное страхование
  • Корпоративные скидки в фитнес-клубах, тур-агентствах и других организациях города