Application security engineer

Основные задачи: Формирование требований к безопасности на самом раннем этапе жизненного цикла продукта Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов: статический анализ исходного кода (преимущественно приложения и микросервисы на Kotlin, Java, JavaScript, и мобильные приложения под iOS и Android) с помощью Positive Technologies Application Inspector, White Source; динамический анализ и сканирование приложений на наличие уязвимостей с помощью Positive Technologies Application Inspector, Tenable Web Application Scanner, OWASP ZAP Анализ полученных отчетов от сканеров, анализ выявленных уязвимостей, отсеивание ложноположительных срабатываний и последующая передача отчета разработчикам на устранение, контроль устранения Разработка рекомендаций для разработчиков по устранению выявленных уязвимостей Организация и контроль за проведением пентестов веб-приложений с привлечением внешней экспертизы Оптимизация и автоматизация процесса проведения аудита, внедрение SAST в CI/CD пайплайн Настройка (разработка новых правил) для SAST и DAST-сканеров Поиск, пилотирование и внедрение новых решений в области безопасной разработки Нам важно: Высшее техническое образование в области ИТ или ИБ Опыт работы в качестве Application Security Engineer или похожей должности (Penetration testing, и т.д.) более 1 года Понимание принципов построения и работы современных веб-приложений Уверенные знания дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления Навык работы и настройки Jenkins Желателен уровень владения английским не ниже среднего (чтение технической документации и переписка с представителями интеграторов и разработчиков средств защиты) Плюсом будет: Наличие профильных сертификатов, подтверждающих квалификацию, знания и навыки в области информационной безопасности: OSCP, CEH, OSWE Опыт участия в CTF или в программах bug bounty Опыт разработки Web или мобильных приложений Уверенные знание языков программирования Kotlin, Java, Javascript, Swift, React/TS Условия: Работа в крупнейшем региональном Банке г. Санкт-Петербурга, в уникальном современном здании на Малой Охте Достойный доход (обсуждается индивидуально) График работы ПН-Чт с 9.00-18.00, ПТ с 9.00-16.45 ( возможен удаленный формат работы) решение перспективных задач на уровне Головного Банка система карьерного роста Интересные задачи, возможность развивать свои профессиональные качества, демонстрировать высокий уровень самоорганизации и самостоятельности в постановке и контроле задач ДМС, льготные условия кредитования для сотрудников, скидка на посещение фитнес-клуба Интересные задачи, возможность развивать свои профессиональные качества, демонстрировать высокий уровень самоорганизации и самостоятельности в постановке и контроле задач Профессиональный и дружный коллектив