Позиция: AppSec инженер (Senior)

Описание проекта: работы на внутренней инфраструктуре IT-компании. Продолжительность: год+.

Локация: РФ, РБ.

Основные задачи:

  • Ручной и автоматизированный анализ защищённости веб, API, мобильных приложений и внутренних сервисов.
  • Поиск уязвимостей по OWASP и внутренним стандартам Заказчика.
  • Подготовка отчётов: вектор атаки, CVSS v3.1, шаги воспроизведения, рекомендации по исправлению.
  • Ведение уязвимостей через процесс управления дефектами и ретест исправлений.
  • AppSec-проверки перед промышленной эксплуатацией (приёмочные испытания).
  • Оценка соответствия сервиса Security Requirements Заказчика.
  • Фиксация в Jira с категоризацией по критичности и блокировкой релиза.
  • Анализ и верификация результатов SAST, SCA, Secret Detection, DAST в ASOC (Semgrep и др.) и job output пайплайнов безопасности.
  • Отделение истинных срабатываний от ложных, классификация рисков, приоритизация для разработки.
  • Исключение ложных срабатываний в единой системе исключений; снижение «шума» через доработку исключений и кастомизацию правил сканирования.
  • Полный жизненный цикл уязвимости: от обнаружения до закрытия.
  • Взаимодействие с разработкой по срокам устранения, эскалация просрочек, контроль SLA по устранению уязвимостей.
  • Разработка кастомных правил Semgrep и других SAST под стек Заказчика.
  • Создание правил Secret Detection под форматы токенов, ключей и credentials компании.
  • Тестирование и документирование правил, итеративная доработка.
  • Разработка шаблонов Nuclei и DAST для специфичных уязвимостей приложений (бизнес-логика, аутентификация, авторизация, нестандартные API), их тестирование и передача в продуктив.
  • Разработка кастомных правил WAF для защиты приложений, тестирование и передача в продуктив.
  • Подготовка технической и процессной документации: архитектура с точки зрения безопасности, модели угроз, бизнес-логика.
  • Security Notes, гайды по безопасной разработке, чеклисты под стек Заказчика; актуализация документации при изменении архитектуры.
  • Анализ Security Requirements, Security Notes и ЛНД на полноту и актуальность; предложения по расширению требований.
  • Согласование обновлений нормативных документов с разработкой и безопасностью.
  • Мониторинг угроз, новых CVE, техник атак под стек Заказчика.
  • Исследование новых инструментов и методологий (SAST, DAST, SCA, Supply Chain Security, AI-assisted security), подготовка структурированных отчётов и PoC перспективных инструментов в среде Заказчика.