AppSec & DevSecOps Jobs

2022-08-31 17:31:31 Application Security Engineer for an international fintech company

Salary: 4000-7000 EUR net

Location: Cyprus

What you will do:
- Development and implementation of practice-driven security controls to software development-related processes.
- Development of data protection measures in product to prevent its loss and misuse.
- Software and system design review from a security perspective at all stages of the software development lifecycle.
- Consult software development teams in a security area.
- Manage security incidents from the products side and build reliable infrastructure for its investigation and forensics.
- Continuously develop security-related processes in the software development area.
- Manage and develop security education programs for Software Engineers, Architects, and Product Managers.

Who we are looking for:
- At least 3 years of practical experience in Application Security and 5 years of experience in the IT/Security area.
- Hands-on experience with modern information protection systems, including open source products.
- Deep understanding of security aspects of virtualization, containerization, and cloud services (AWS).
- A broad spectrum of technical knowledge in the following areas (the list is not exhaustive): Linux family, Docker, Kubernetes, AWS, Vault, git.
- Good knowledge of essential technologies and protocols (TLS, HTTP, Web Socket, DNS, OAuth2, OIDC, etc.) and their threats.
- Hands-on experience in development and/or automation.
- Fluent Russian and English language (Upper-Intermediate or higher).

Contact: @RadyukE Открыть/Комментировать

2022-08-26 23:16:43 Principal Security Manager/Application Security Engineer Teamlead, Aparavi (разработка ПО)

ЗП: от $6000 до $7000

Локация: Санта-Моника, Калифорния, США
Формат: Полная занятость, удалённо

Требования:
• Навыки просмотра кода, как именно что реализовано, проверять несколько итераций, заниматься разъяснением инженерингу того, как реализовывать в коде тот или иной стандарт,
• знание принципов SAST/OAST/IAST;
• Быть знакомым с Open Web Application Security Project (OWASP), NIST стандарт качества, CIS.
• Желателен опыт проведения внутренних аудитов по AppSec.
• Сертификаты OSWE и/или OSCE и др в области безопасности будут +;
• Опыт работы с Kubernetes и микросервисами будет +;
• Желательны навыки отчетности и консультирования.
• Опыт принятия архитектурных решениях в системах безопасности.
• Английский от b1 intermediate и выше.

Условия:
Помощь с релокацией, если она нужна. У нас интернациональная русскоговорящая команда. Общение с американской частью команды – на английском.
возможность выстроить работу своего подразделения в соответствии со своим идеальным видением;
Прямой работодатель из США, официальный договор, работа через ИП для большинства стран. Помощь с оформлением ИП.
Заработная плата в USD (мы понимаем, что сейчас это возможно будет рассматриваться как минус).
Точечные и праздничные премии.

Контакты: @Anna_Neu Открыть/Комментировать

2022-08-22 20:20:50 Application Security Business Partner, СберМаркет

ЗП: 320к рублей на руки

Что предстоит?
- составить Roadmap повышения уровня безопасности направления аналитики;
- внедрить пайплайн сканеров безопасности в проекты домена (совместно с DevSecOps);
- провести ревью текущей архитектуры сервисов, составить модель угроз и план устранения замечаний.

А также:
- взаимодействовать с командами аналитики и разработки для анализа бизнес-требований;
- анализировать возможность мошеннических действий и уязвимостей в бизнес-логике приложений;
- готовить требования по безопасности и контролировать их соблюдение;
- проводить постоянное тестирование безопасности и проверять код.

Мы ждем, что ты:
- работаешь в области обеспечения безопасности приложений;
- понимаешь, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25;
- знаешь и применяешь стандарты в области безопасности приложений (OWASP ASVS, WSTG и т.п.);
- понимаешь принципы работы облачной инфраструктуры, и риски ее безопасности, а также принципы работы микросервисной архитектуры и подходы к безопасности микросервисов;
- можешь читать код или писать на Python/Go (большой плюс).

Контакты: @aurecruit Открыть/Комментировать

2022-08-11 14:27:58 Ведущий специалист по ИБ (DevSecOps), ООО НКО «Мобильная карта»

ЗП: 250-300k на руки, сумма обсуждаема (в зависимости от навыков)

Обязанности:
- обеспечивать безопасность инфраструктуры Docker/Kubernetes;
- взаимодействовать с командами Ops/DevOps по вопросам кибербезопасности инфраструктуры;
- проводить экспертизу инцидентов информационной безопасности инфраструктуры;
- взаимодействовать с Аналитиками ИБ;
- выстраивать необходимые процессы обеспечения безопасности образов контейнеров на всех этапах;
- выстраивать необходимые процессы мониторинга событий информационной безопасности.

Наши ожидания:
- опыт работы с Docker/Kubernetes;
- опыт применения специализированных решений, механизмов и мер по обеспечению безопасности Docker/Kubernetes;
- опыт работы с системами управления конфигурациями Ansible/Terraform/Chef и т.п.;
- глубокий уровень понимания ОС *nix;
- понимание принципов микросервисной архитектуры приложений;
- знание технологического стека и механизмов контейнеризации;
- знание базовых принципов подходов DevSecOps;
- понимание актуальных рисков контейнеризации, отличия от рисков виртуализации, доступных инструментов и мер минимизации рисков.

Будет плюсом:
- Опыт экспертного участия в процессах SSDLC, DevSecOps, SAST, DAST;
- Опыт работы с ELK;
- Наличие сертификатов в области ИТ и ИБ.

Контакты: @elenaazorkina Открыть/Комментировать

2022-08-11 10:50:56 DevSecOps Senior/TeamLead, Сбермаркет

ЗП: 350к на руки

Что предстоит?
- Взаимодействие с DevOps, передача сервисов под их поддержку и обучение принципам безопасности;
- Помощь Devops с безопасной настройкой Istio и ServiceMesh, настройки Kubernetes с точки зрения безопасности;
- Внедрение OPA и анализаторов безопасности конфигураций виртуализации;
- Настройка безопасности деплоев через CI/CD и повышения безопасности решений, которые используют DevOps - Terraform, Ansible, Awx и т.п.
- Внедрение Security сканеров в пайплайны.

Что мы ждём от кандидата?
- Понимание базовых принципов подходов DevOps (CI / CD);
- Опыт работы с системами контроля версий (Git, SVN0;
- Опыт работы с Kubernetes или другими средствами оркестрации;
- Понимание принципов микросервисной архитектуры приложений;
- Опыт настройки автоматизации процессов управления и разграничения доступов;
- Опыт внедрения систем управления «секретами» (Vault) и систем по управлению привилегированными пользователями (Balabit, Wallix, Teleport);
- Опыт работы с Security сканерами и внедрение их пайплайны;
- Понимание принципов SSDLC.

Плюсом будет:
- Понимание принципов работы безопасного Service Mesh и ZeroTrust;
- Опыт работы с Open Policy Agent, внедрение и написание правил для различных систем.

Контакты: lidiya.sukhanova@sbermarket.ru, @LidaSukhanova Открыть/Комментировать

2022-08-10 15:47:13 Application Security Engineer, Международная Fintech-Компания

ЗП: 150k - 200k на руки, уровень оклада обсуждается

Локация: Москва
Формат работы: удаленка, полная занятость

Задачи:
- Проводить тестирование безопасности разрабатываемых продуктов и сервисов;
- Развивать и автоматизировать процессы поиска уязвимостей;
- Строить пайплайн CI/CD;
- Формировать отчетную документацию по результатам выявления недостатков один раз в квартал;
- Формировать рекомендации/требований по устранению слабостей и уязвимостей программного к
- Выполнять иные поручения руководителя.

Опыт и навыки:
- От 1 года опыта работы в технической поддержке систем, программ (банковских, телеком);
- Знание слабостей и уязвимостей в программном обеспечении и опыт их выявления;
- Знание SAST, DAST, IAST и опыт их использования для поиска недостатков программного кода приложений;
- Опыт исследования защищенности в режиме «черный ящик».

Контакты: @vgrebenyuk Открыть/Комментировать

2022-08-09 15:20:17 Application Security Specialist, крупный банк

ЗП: 250k - 280k net (cумма обсуждаема)

Формат работы: полный день
Локация: офис г. Новосибирск

Задачи:
- Проектировать, внедрять и настраивать ключевые инструменты ИБ в части Application Security;
- Поиск и анализ и внедрение современных подходов;
- Проводить ручной и автоматизированный анализ безопасности кода приложений с использованием SAST/OAST/IAST.

Что ждем от Вас:
- Опыт в направлениях Application Security/DevSecOps
- Готовы рассмотреть кандидатов с опытом в анализе уязвимостей на позициях QA или Developers, которые хотят развиваться по направлению ИБ
- Практический опыт тестирования и выявления уязвимостей ПО.

Контакты: TG @Olesya2390 Открыть/Комментировать

2022-08-08 15:34:43 Специалист по анализу защищенности веб приложений,
ПАО «Ростелеком»

ЗП: 150.000-180.000 гросс + бонусы и премии

Задачи:
• Проведение анализа защищенности веб-сервисов;
• Участие в Red Teaming;
• Оформление сопутствующей документации (отчеты, рекомендации по устранению уязвимостей и др.);
• Автоматизация деятельности подразделения;

Требования:
• Опыт проведение анализа защищенности приложений (белый ящик, статический анализ);
• Понимание специфики разработки приложений (клиент-серверы, микросервисы, контейнеры, CI/CD, SDLC);
• Умение читать и анализировать исходный код;
• Практический опыт поиска и эксплуатации уязвимостей веб-сервисов;
• Опыт работы с WebSocket, GraphQL;
• Понимание основных протоколов авторизации: SAML, OAuth и др.;
• Знакомство с методиками тестирования: OWASP, PCI DSS, PTES и др.;
• Знание основных скриптовых языков: Python, Bash и др.;

Будет плюсом:
• Участие в программах bug bounty;
• наличие опыта разработки приложений;
• опыт работы со статическими анализаторами;
• Участие в CTF;
• Наличие сертификатов OSCP, OSCE, OSWE и т.д.
• Опыт работы с docker, docker-compose, k8s;

Контакты: @TatianaRTK
89604959259 Татьяна Открыть/Комментировать

2022-08-02 15:21:22 Ведущий инженер по безопасности приложений (AppSec), СберМедИИ

ЗП: от 270k до 300k gross (в зависимости от опыта и знаний)

Занятость: полная
Формат работы: удаленно в РФ/офис/смешанный график (на выбор)
Локация: Москва, Сколково

Обязанности:
- имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения;
- моделирование угроз и формирование требований безопасности;
- внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов;
- проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей;
- осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности;
- внедрение, настройка и поддержка WAF, реагирование на атаки;
- участие в расследовании инцидентов информационной безопасности;
- сопровождение внешних тестирований на проникновение.

Требования:
- знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
- практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.);
- умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir);
- знание SQL (PostgreSQL);
- знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- навыки работы с инструментами SAST, DAST, SCA/OSA, др.;
- понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps.

Будет преимуществом:
- образование (курсы) в области application security, ethical hacking, penetration testing;
- опыт участия в Bug Bounty, CTF.

Контакты: Telegram @Alishia_l; a.matus@sbermed.ai

https://hh.ru/vacancy/67745197?hhtmFrom=vacancy_edit Открыть/Комментировать

2022-07-30 09:58:06 Application Security Expert (Offensive), Тинькофф

ЗП: 150 000 - 300 000 net

Локация: Любой город
Формат работы: гибрид\удаленная работа
Занятость: полная
Уровень: Middle\Senior

Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Заниматься исследовательской деятельностью в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Строить вместе процесс безопасной разработки ПО (Security SDLC)

Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом

Контакты: Tg: @voitkat; e.voytkevich@tinkoff.ru Открыть/Комментировать