AppSec & DevSecOps Jobs

2022-07-25 14:42:53 Инженер по информационной безопасности / DevSecOps, СберТех

ЗП: 150 000 – 300 000 руб. net

Локация: Москва
Формат работы: офис (м. Тульская, БЦ Даниловский Форт)

Задачи, которые предстоит решать:
• внедрение практик безопасной разработки в производственных командах
• настройка и эксплуатация инструментальных средств анализа кода – статический/динамический, анализ открытого исходного кода
• участие в проектах по тестированию на проникновение
• анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности
• организация и проведение внутреннего обучения сотрудников подразделения.

Мы ждем от кандидатов:
• образование высшее техническое/профессиональная переподготовка (свыше 500 аудиторных часов) по направлению «Информационная безопасность»
• опыт проведения тестов на проникновение и анализа защищенности информационных систем
• опыт работы с основными инструментами анализа кода
• знание основных угроз информационной безопасности, типов уязвимостей и практический опыт их эксплуатации
• знание способов проведения атак, методики и технологии противодействия
• знания стека TCP\IP, модель OSI, архитектуры и принципов функционирования операционных систем Windows, Linux, общесистемного и прикладного программного обеспечения.

Преимуществом будет:
• опыт внедрения процессов безопасной разработки (включая S-SDLC, DevSecOps, SAST, DAST)
• наличие CEH, OSCP, ECSA.

Даже если Вы работали с частью описанных технологий и имеете желание освоить остальную, направляйте резюме. Мы открыты к общению и готовы делиться опытом и знаниями.

Контакты: Telegram - @marina_barbashova Открыть/Комментировать

2022-06-30 16:45:27 Application Security, Крупная страховая компания

ЗП: 270k - 280k гросс (c учетом квартальных и годовых бонусов 290k - 300k net)

Формат работы: полный день, офис (в дальнейшем возможен гибрид или удаленка)

Обязанности:
- Подготовка (и затем техническая приемка) требований ИБ прикладного уровня в части разработки web-сервисов и приложений
- Поиск уязвимых мест в коде приложения
- Тестирование уязвимостей.
- Подготовка отчета для IT сегмента.

Требования:
- Опыт работы в сфере практической информационной безопасности или в области информационных технологий не менее года
- Стандарты/теория: - OWASP Application Security Verification Standard - OWASP Security Testing Guide - OWASP Review Code
- Инструменты: - Burp Suite - OWASP ZAP

Контакты: @rusik_pusichka Открыть/Комментировать

2022-06-17 15:46:58 Аналитик по информационной безопасности, Arenadata

ЗП: 200 000 - 250 000 руб на руки

Формат работы: полный день, удаленно и/или офис в Москве

Предстоящие задачи:
· Участие в развитии продукта в части безопасности платформы на базе Apache Ranger и Apache Knox
· Анализ и разработка требований к продукту в части ИБ
· Моделирование угроз безопасности к продукту и процессу Secure-SDLC
· Анализ и разработка предложений по улучшению процесса безопасной разработки продукта
· Анализ исходного кода Java/Python/GO/C++

Ждем от вас:
· Опыт формирование требований к безопасности на самом раннем этапе жизненного цикла продукта
· Понимание причин возникновения и принципов эксплуатации уязвимостей приложений
· Опыт разработки модели угроз для приложений
· Знание CWE/SANS Top 25 Most Dangerous Software Errors, OWASP Top 10
· Знание любого из языков программирования: Java/Python/GO/C++
· Умение читать и хорошо ориентироваться в исходном коде
· Уверенные знания ОС (Unix/Win)

Будет плюсом:
· Знакомство с экосистемой Apache Hadoop, PostgreSQL, Greenplum, Opensearch.
· Знание протоколов Kerberos, TLS, LDAP.

Контакты: @batrecit

https://arenadata.tech/ Открыть/Комментировать

2022-06-15 17:45:55 Инженер по безопасности приложений (Application Security), Банк Открытие

ЗП: 123 000 руб. net + годовой бонус

Локация: Москва, м. Таганская (удалёнка/офис - 50/50)

Задачи:
- Анализ угроз и защищенности веб, мобильных приложений и инфраструктуры (Application Security, SAST/DAST/IAST);
- Внутреннее и внешнее тестирование корпоративных систем на проникновение (Black box, Grey box, White box);
- Threat hunting, Red Teaming.

Мы ожидаем от вас:
- Понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM), знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code inijection и т.д.);
- Опыт поиска и эксплуатации уязвимостей инструментально, их верификации;
- Опыт проведения тестов на проникновение (Penetration test), использования утилит: nmap, metasploit, burp suite pro, а также из GNU Kali Linux;
- Знание сетевых технологий (TCP/IP), основных уязвимостей сетевых протоколов;
- Понимание работы веб-протоколов и технологий (HTTP, HTTPS, SOAP, AJAX, JSON, REST), основных веб-уязвимостей (OWASP Top 10);
- Мониторинг трендов киберугроз, техник и тактик злоумышленников (TTP);
- Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10.

Будет плюсом:
- Владение одним из языков: C#, Java, Python, Ruby, PHP, JavaScript, SQL;
- Владение скриптовым языком (asp, php, python, perl, bash, powershell);
- Сертификаты OSCP, CEH;
- Опыт проведения security code review;
- Опыт работы с инструментами безопасной разработки (SAST/DAST/IAST) в конвейере CI/CD.

Контакты: @piace_re (Виктория) Открыть/Комментировать

2022-06-10 17:36:29 Инженер по безопасности приложений, Авито

ЗП: до 260 000 на руки

Занятость: фултайм
Локация: Москва

Чем будешь заниматься:
- Улучшать существующий S-SDLC, интегрируя новые решения по безопасности и совершенствуя уже используемые
- Принимать участие в проверках и аудитах безопасности
- Внедрять новые процессы S-SDLC
- Развивать программу bugbounty
- Коммуницировать с большим количеством команд разработки в рамках консультаций и управления рисками.

Требования:
- Свободно ориентируешься в типах уязвимостей приложений и подходах по их устранению
- Имеешь опыт работы с инструментами анализа безопасности и сканерами защищенности (intercepting proxies / DAST / SAST)
- Обладаешь экспертизой и опытом построения процессов безопасной разработки, в том числе по автоматизации проверок безопасности и их интеграции в DevSecOps пайплайн
- Имеешь базовый опыт разработки на python/go
- Обладаешь опытом анализа защищенности инфраструктуры
- Имеешь профессиональные сертификации (OSCP / OSWE)

Откликнуться Открыть/Комментировать

2022-06-10 17:32:41 Application Security Trainer for Developers, inDriver

ЗП: 250 - 350 т.р. (выше обсуждаемо)

Любой формат работы, после исп. срока предполагается релокация на Кипр или в Казахстан (возможность проживания в другой стране обсуждаема)

Обязанности:
- Создавать CTF стенды (по готовым задачам) по безопасности веб-приложений и Linux-инфраструктуры;
- Проводить мероприятие по увеличению осведомленности в вопросах ИБ: CTF, учения команд безопасности, уведомления сотрудников по вопросам ИБ;
- Создавать и дорабатывать курсы по безопасной разработке;
- Поддерживать внутреннюю документации по безопасной разработке;
- Воспроизводить ранее выявленных проблемы безопасности;
- Осуществлять поддержка инфраструктуры, подготовка сценариев и проведение атак методом социальной инженерии.

Требования:
- Опыт эксплуатации уязвимостей веб-приложений;
- Хороший уровень теории по практической безопасности и умение грамотно об этом говорить;
- Опыт публичных выступления или преподавания;
- Базовые навыки тестирования на проникновение;
- Владение Linux на уровне администратора (Nginx, Docker, K8s);
- Английский B1 и выше;
- Высокий уровень мотивации и желание развиваться.

Будет плюсом:
- Опыт участия в CTF-соревнованиям, HTB, Bug Bounty;
- Опыт разработки веб и мобильных приложений;
- Знание SQL.

Контакты: Telegram @M_Aigul Открыть/Комментировать

2022-06-09 12:08:37 Information Security Engineer (Middle, Senior) - Infrastructure Security, Double Cloud

Salary: € 72.000 - 108.000

Location: Berlin, Remote - OK, relocation

What will you be doing
- Work out cloud infrastructure security policy, implement and support it with AWS Security Services and other tools.
- Implement and review security controls on other layers of infrastructure: applications inside kubernetes clusters, service virtual machines, SaaS solutions (Google Workspace and its integrations).
- Participate in infrastructure design reviews and threat modeling sessions, promote best cloud infrastructure practices.
- Conduct security assessments of 3rd party tools and services, work out security guidelines for integrations with those solutions and services.
- Partner with and be a trusted advisor to product teams and transfer your experience to the product (we’re building data analytics service in the cloud).
- Potentially become a Cloud Infrastructure Security Leader.

Requirements
- Broad security domain knowledge and understanding security concepts
- Experience with AWS Security tools
- Experience with Infrastructure as Code approach
- Experience with AWS EKS and tools to secure Kubernetes clusters
- Experience with Google Workspace
- Ability to learn new things and show technical leadership

Contacts:
Apply at https://doublecloud.breezy.hr/p/a08a28c01c4d01-information-security-engineer
Telegram @ecc11
Email girtsdzelde@double.cloud, e-sidorov@double.cloud

https://doublecloud.breezy.hr/p/a08a28c01c4d01-information-security-engineer Открыть/Комментировать

2022-06-09 09:29:09 Архитектор по безопасности приложений DevSecOps, ПАО СПБ Биржа

ЗП: 250 000р. - 340 000р. gross

Локация: Москва

Обязанности:
• Анализ архитектуры создаваемых и дорабатываемых ИТ-систем на безопасность при их проектировании и разработке
• Построение процесса DevSecOps (внедрение практик по сканированию образов, Dockerfile, IoC, поиску секретов и так далее)
Формализация требований по безопасности к разработке и организация контроля их выполнения при разработке/доработке ИТ-систем на всех этапах: написание кода, сборка приложений, развертывание, предпромышленное тестирование
• Выстраивать процесс SSDLC в компании c учетом требования ЦБ к ОУД 4 на часть ПО и ППК
Внедрять SAST/DAST/SCA в пайплайны внутренней разработки
• Работать с .net, .net-core, node-js, java, c/c++/c#, python, julia, php, t-sql
Организация работ по анализу защищенности ключевых систем подрядчиком, включая аудит исходных кодов систем и их компонентов SCA/SAST/DAST, анализ остальных систем самостоятельно
Отработка и контроль устранения уязвимостей и обновления ПО со стороны Dev и Ops
Обеспечивать безопасность docker и kubernetes инфраструктуры
Проводить харденинг образов из которых разворачивается инфраструктурные сервисы компании

Требования:
• Высшее техническое образование
• От 2-3 лет опыта работы по данному направлению
• Опыт эксплуатации уязвимостей
• Умение программировать на одном из скриптовых языков (JavaScript, Python, .Net, PHP)
• Опыт CTF будет преимуществом
• Знания pipeline, основных принципов CI/CD и принципов security gate
• Опыт проведения Code Review и SAST
• Умения пользоваться SAST/DAST/Fuzzерами и опыт их настройки под конкретные приложения
• Знание основных методологий в области SDLC

Контакты: @iarchenkovnick Открыть/Комментировать

2022-06-08 09:47:02 Junior DevSecOps, Инфосистемы Джет

ЗП: 130 000р. - 150 000р.

Локация: Москва
Формат работы: Гибридный/офис

Что нужно делать:
- участвовать в типовых и комплексных кросс-центровых проектах по построению DevOps и Sec под ключ, решать интересные задачи (например, как скрестить системы между собой в рамках внедрения нескольких контуров безопасной разработки, как выстроить процесс безопасной разработки и т. д.)
- тестировать новые перспективные продукты ИБ по направлению
- участвовать в развитии направления (идеи, семинары, вебинары, статьи...)

С каким опытом можно стартовать:
- Вы умеете администрировать Linux.
- Вы любите работать руками и Вас не напугаешь написанием технической документации
- Вы любите творчество и готовы придумывать нестандартные решения
- Вы хотите погрузиться в DevSecOps и узнать его со всех сторон, решая разные задачи
- Вы понимаете основы безопасной разработки и имеете представление о стеке технологий DevOps, а так же имеете представление о том, что такое безопасность и что такое SAST/DAST/Container Security и пр.
- Будет очень хорошо, если у Вас также есть хотя бы минимальный опыт участия в проектной деятельности в роли инженера даже по другим ИБ продуктам

Контакты: Telegram @polinaj Открыть/Комментировать

2022-06-08 09:20:28 DevSecOps Engineer, Wisebits

ЗП: от €4500 до €5000 net

Занятость: фултайм
Локация: город Лимассол (Кипр)

Чем будешь заниматься:
- Администрирование гипервизоров, виртуальных машин и платформ для оркестрации контейнерами;
- Внедрение методологии DevSecOps;
- Планирование, внедрение и сопровождение систем для противодействия атакам извне;
- Построение zero trust систем во внутреннем контуре;
- Внедрение и сопровождение SIEM.

Задачи (и подобный опыт мы бы хотели видеть у вас):
- Опыт работы в качестве DevSecOps Engineer от 3-х лет;
- Опыт работы с системами виртуализации и контейнеризации;
- Опыт работы с одним из скриптовых языков (Go, Python, PHP);
- Опыт работы с принципами и инструментами CI / CD (Git, Gitlab, Ansible, Terraform);
- Опыт построения SIEM;
- Знание iptables, low level kernel networking, работа со средствами анализа сетевого трафика;
- Понимание жизненного цикла разработки ПО (проектирование, моделирование угроз, разработка, сопровождение).

Будет плюсом:
- опыт интеграции инструментов SAST, DAST и SCA в конвейеры CI/CD;
- опыт работы с Hashicorp Vault, OpenLDAP и OpenVPN;
- наличие знаний о современных структурах, методах и технологиях аутентификации/авторизации (OAuth 2.0,OIDC,JWT);
- наличие знаний о методах воздействия и устранения уязвимостей из OWASP Top-10 и за ее пределами;

Контакты: @V_Kulevtsova Открыть/Комментировать