Forwarded from Екатерина Куницына
#AppSec #Сбер #DevSecOps #вакансия #анализ #код #безопасная #разработка
Позиция: DevSecOps Engineer
Формат работы: офис или удаленно
ЗП: 150-300К (в зависимости от опыта и знаний)
Тебе понравится у нас, если:
· Ты знаешь, что такое подход SDLC, практика статического анализа кода и готов погрузиться в их применение в реальном мире;
· Тебя вдохновляют вызовы и масштабные задачи, такие как Run практики на 1.5к команд разработки и взаимодействие с большим количеством команд;
· Тебе нравится исследовать и совершенствовать инструменты анализа исходного кода, чтобы выявлять сочные уязвимости в реальных приложениях и помогать Банку быть безопасным;
· Ты ценишь развитие, поэтому с удовольствием выделяешь время на анализ технологических трендов в области Application Security (новые вектора атак, публичные уязвимости, инструментарий, стандарты, практики и пр.).
Что тебе предстоит:
· Консультации пользователей - команд разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
· Анализ ошибок, возникающих в работе инструментов DevSecOps;
· Взаимодействие с 1-ой, 2-й линиями поддержки и вендором при возникновении инцидентов;
· Трекинг задач и коммуникация с вендором в issue-tracking системах и почте;
· Участие в пилотных проектах в рамках Change активностей. В случае с взаимодействием с вендором - практика английского языка;
· Сопровождение стендов - "песочниц", которые используются для тестирования обновлений решений и пилотных проектов.
Ты нам подходишь, если:
· Умеешь найти и обезвредить типовые уязвимости в современных приложениях (OWASP, CWE);
· Умеешь читать чужой код, диагностировать проблемы и искать корневые причины;
· Знаком со средствами автоматизации DevOps (Jenkins, groovy pipeline);
· Легко обращаешься со скриптовыми языками программирования (Bash / Powershell / Python);
· Понимаешь особенности популярных языков программирования и модных фреймворков.
Идеально, если:
· DevSecOps для тебя – это не просто тренд, а миссия;
· Имеешь опыт практического применения инструментов SAST (идеально, если это Checkmarx);
· Имеешь опыт сопровождения автоматизированных систем в качестве 3-й линии.
Направляйте резюме в Telegram: @katemisha (Катя) или на почту EMVarlygina@sberbank.ru
Позиция: DevSecOps Engineer
Формат работы: офис или удаленно
ЗП: 150-300К (в зависимости от опыта и знаний)
Тебе понравится у нас, если:
· Ты знаешь, что такое подход SDLC, практика статического анализа кода и готов погрузиться в их применение в реальном мире;
· Тебя вдохновляют вызовы и масштабные задачи, такие как Run практики на 1.5к команд разработки и взаимодействие с большим количеством команд;
· Тебе нравится исследовать и совершенствовать инструменты анализа исходного кода, чтобы выявлять сочные уязвимости в реальных приложениях и помогать Банку быть безопасным;
· Ты ценишь развитие, поэтому с удовольствием выделяешь время на анализ технологических трендов в области Application Security (новые вектора атак, публичные уязвимости, инструментарий, стандарты, практики и пр.).
Что тебе предстоит:
· Консультации пользователей - команд разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
· Анализ ошибок, возникающих в работе инструментов DevSecOps;
· Взаимодействие с 1-ой, 2-й линиями поддержки и вендором при возникновении инцидентов;
· Трекинг задач и коммуникация с вендором в issue-tracking системах и почте;
· Участие в пилотных проектах в рамках Change активностей. В случае с взаимодействием с вендором - практика английского языка;
· Сопровождение стендов - "песочниц", которые используются для тестирования обновлений решений и пилотных проектов.
Ты нам подходишь, если:
· Умеешь найти и обезвредить типовые уязвимости в современных приложениях (OWASP, CWE);
· Умеешь читать чужой код, диагностировать проблемы и искать корневые причины;
· Знаком со средствами автоматизации DevOps (Jenkins, groovy pipeline);
· Легко обращаешься со скриптовыми языками программирования (Bash / Powershell / Python);
· Понимаешь особенности популярных языков программирования и модных фреймворков.
Идеально, если:
· DevSecOps для тебя – это не просто тренд, а миссия;
· Имеешь опыт практического применения инструментов SAST (идеально, если это Checkmarx);
· Имеешь опыт сопровождения автоматизированных систем в качестве 3-й линии.
Направляйте резюме в Telegram: @katemisha (Катя) или на почту EMVarlygina@sberbank.ru
Forwarded from Polieshe
#вакансия #удаленка #appsec #itsecurity
Application Security Инженер/Эксперт, Райффайзенбанк
З/п вилка: 200 000 - 500 000 net
Удаленно или гибрид (Москва, Технопарк)
🔶 Мы предлагаем
- Погружение в процессы разных бизнес-юнитов (Retail & SME, CIB, Risks & Finance, Infrastructure, Operations);
- Возможность участвовать в перестраивании процессов безопасной разработки и внедрении передовых AppSec-практик;
- Быть частью крутой команды, в который ты будешь постоянно развиваться;
🔶 Обязанности
- участвовать в развитии направления Application Security;
- моделировать угрозы и формировать требования безопасности;
- проводить анализ безопасности архитектур продуктов;
- участвовать в проведении внутренних и сопровождать внешние тестирования на проникновение;
- использовать инструменты безопасной разработки (SAST, DAST, SCA/OSA, др.), анализировать отчеты с результатами работы этих инструментов;
- контролировать устранение обнаруженных уязвимостей и консультировать продуктовые команды в вопросах безопасности;
🔶 Наш кандидат
- умеет проводить тестирования на проникновение для web/mobile приложений и описывать обнаруженные уязвимости;
- знает основные аспекты обеспечения безопасности web-приложений (OWASP топ 10), а также best practices безопасной разработки;
- умеет разбираться в коде на различных языках программирования (желательно Java, Kotlin, Scala);
- понимает архитектурные принципы построения и работы web и mobile приложений;
- понимает работу приложений на уровне сетевого взаимодействия;
- знает основные концепции: authentication, authorization, private and public-key encryption, digital signature, non-repudiation и пр.;
- имеет желание развивать не только security hard skills, но и soft skills для эффективного взаимодействия с продуктовыми командами;
🔶 Будет плюсом
- навык написания скриптов на Python для автоматизации рабочих задач;
- образование (курсы) в области application security, ethical hacking, penetration testing;
- наличие практических сертификаций по ИБ (OSCP, OSWE, eWPTXv2 и др.);
- опыт работы с Checkmarx SAST, JFrog Xray, Fortify WebInspect;
- опыт участия в Bug Bounty, CTF;
🔶 Дополнительные бонусы
- Удобная рабочая инфраструктура (MacBook Pro, Outlook, Slack, Zoom);
- Возможность прокачать английский язык (участие в международной комьюнити экспертов Raif International);
- Спортзал, ДМС, страхование, доплата по больничным, льготное кредитование и т.д;
- Возможность профессионального и карьерного роста;
- Оплата конференций, курсов и профильных сертификаций;
Если вакансия интересна вам - пишите в тг: @polieshe
Application Security Инженер/Эксперт, Райффайзенбанк
З/п вилка: 200 000 - 500 000 net
Удаленно или гибрид (Москва, Технопарк)
🔶 Мы предлагаем
- Погружение в процессы разных бизнес-юнитов (Retail & SME, CIB, Risks & Finance, Infrastructure, Operations);
- Возможность участвовать в перестраивании процессов безопасной разработки и внедрении передовых AppSec-практик;
- Быть частью крутой команды, в который ты будешь постоянно развиваться;
🔶 Обязанности
- участвовать в развитии направления Application Security;
- моделировать угрозы и формировать требования безопасности;
- проводить анализ безопасности архитектур продуктов;
- участвовать в проведении внутренних и сопровождать внешние тестирования на проникновение;
- использовать инструменты безопасной разработки (SAST, DAST, SCA/OSA, др.), анализировать отчеты с результатами работы этих инструментов;
- контролировать устранение обнаруженных уязвимостей и консультировать продуктовые команды в вопросах безопасности;
🔶 Наш кандидат
- умеет проводить тестирования на проникновение для web/mobile приложений и описывать обнаруженные уязвимости;
- знает основные аспекты обеспечения безопасности web-приложений (OWASP топ 10), а также best practices безопасной разработки;
- умеет разбираться в коде на различных языках программирования (желательно Java, Kotlin, Scala);
- понимает архитектурные принципы построения и работы web и mobile приложений;
- понимает работу приложений на уровне сетевого взаимодействия;
- знает основные концепции: authentication, authorization, private and public-key encryption, digital signature, non-repudiation и пр.;
- имеет желание развивать не только security hard skills, но и soft skills для эффективного взаимодействия с продуктовыми командами;
🔶 Будет плюсом
- навык написания скриптов на Python для автоматизации рабочих задач;
- образование (курсы) в области application security, ethical hacking, penetration testing;
- наличие практических сертификаций по ИБ (OSCP, OSWE, eWPTXv2 и др.);
- опыт работы с Checkmarx SAST, JFrog Xray, Fortify WebInspect;
- опыт участия в Bug Bounty, CTF;
🔶 Дополнительные бонусы
- Удобная рабочая инфраструктура (MacBook Pro, Outlook, Slack, Zoom);
- Возможность прокачать английский язык (участие в международной комьюнити экспертов Raif International);
- Спортзал, ДМС, страхование, доплата по больничным, льготное кредитование и т.д;
- Возможность профессионального и карьерного роста;
- Оплата конференций, курсов и профильных сертификаций;
Если вакансия интересна вам - пишите в тг: @polieshe
Forwarded from Екатерина Куницына
#AppSec #Сбер #DevSecOps #вакансия #анализ #код #безопасная #разработка
Позиция: DevSecOps Engineer
Формат работы: офис или удаленно
ЗП: 150-250К (в зависимости от опыта и знаний)
Тебе понравится у нас, если:
· Ты знаешь, что такое подход SDLC, практика статического анализа кода и готов погрузиться в их применение в реальном мире;
· Тебя вдохновляют вызовы и масштабные задачи, такие как Run практики на 1.5к команд разработки и взаимодействие с большим количеством команд;
· Тебе нравится исследовать и совершенствовать инструменты анализа исходного кода, чтобы выявлять сочные уязвимости в реальных приложениях и помогать Банку быть безопасным;
· Ты ценишь развитие, поэтому с удовольствием выделяешь время на анализ технологических трендов в области Application Security (новые вектора атак, публичные уязвимости, инструментарий, стандарты, практики и пр.).
Что тебе предстоит:
· Консультации пользователей - команд разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
· Анализ ошибок, возникающих в работе инструментов DevSecOps;
· Взаимодействие с 1-ой, 2-й линиями поддержки и вендором при возникновении инцидентов;
· Трекинг задач и коммуникация с вендором в issue-tracking системах и почте;
· Участие в пилотных проектах в рамках Change активностей. В случае с взаимодействием с вендором - практика английского языка;
· Сопровождение стендов - "песочниц", которые используются для тестирования обновлений решений и пилотных проектов.
Ты нам подходишь, если:
· Умеешь найти и обезвредить типовые уязвимости в современных приложениях (OWASP, CWE);
· Умеешь читать чужой код, диагностировать проблемы и искать корневые причины;
· Знаком со средствами автоматизации DevOps (Jenkins, groovy pipeline);
· Легко обращаешься со скриптовыми языками программирования (Bash / Powershell / Python);
· Понимаешь особенности популярных языков программирования и модных фреймворков;
· У тебя хорошие коммуникационные навыки.
Мы предлагаем:
· Возможность стать пионером в уникальных по масштабам и задачам проектах информационной безопасности;
· Поддержку и открытость твоим классным идеям;
· Личное развитие с помощью программ, курсов в корпоративном университете;
· Профессиональный рост в дружной молодой команде;
· Бонусы и поощрения за хорошие результаты;
· Заработная плата (оклад + премии);
· ДМС, страхование от несчастных случаев;
· Программа льготного кредитования в Сбербанке;
· Дисконт-программы от компаний партнеров.
Направляйте резюме в Telegram: @katemisha (Катя)
Позиция: DevSecOps Engineer
Формат работы: офис или удаленно
ЗП: 150-250К (в зависимости от опыта и знаний)
Тебе понравится у нас, если:
· Ты знаешь, что такое подход SDLC, практика статического анализа кода и готов погрузиться в их применение в реальном мире;
· Тебя вдохновляют вызовы и масштабные задачи, такие как Run практики на 1.5к команд разработки и взаимодействие с большим количеством команд;
· Тебе нравится исследовать и совершенствовать инструменты анализа исходного кода, чтобы выявлять сочные уязвимости в реальных приложениях и помогать Банку быть безопасным;
· Ты ценишь развитие, поэтому с удовольствием выделяешь время на анализ технологических трендов в области Application Security (новые вектора атак, публичные уязвимости, инструментарий, стандарты, практики и пр.).
Что тебе предстоит:
· Консультации пользователей - команд разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
· Анализ ошибок, возникающих в работе инструментов DevSecOps;
· Взаимодействие с 1-ой, 2-й линиями поддержки и вендором при возникновении инцидентов;
· Трекинг задач и коммуникация с вендором в issue-tracking системах и почте;
· Участие в пилотных проектах в рамках Change активностей. В случае с взаимодействием с вендором - практика английского языка;
· Сопровождение стендов - "песочниц", которые используются для тестирования обновлений решений и пилотных проектов.
Ты нам подходишь, если:
· Умеешь найти и обезвредить типовые уязвимости в современных приложениях (OWASP, CWE);
· Умеешь читать чужой код, диагностировать проблемы и искать корневые причины;
· Знаком со средствами автоматизации DevOps (Jenkins, groovy pipeline);
· Легко обращаешься со скриптовыми языками программирования (Bash / Powershell / Python);
· Понимаешь особенности популярных языков программирования и модных фреймворков;
· У тебя хорошие коммуникационные навыки.
Мы предлагаем:
· Возможность стать пионером в уникальных по масштабам и задачам проектах информационной безопасности;
· Поддержку и открытость твоим классным идеям;
· Личное развитие с помощью программ, курсов в корпоративном университете;
· Профессиональный рост в дружной молодой команде;
· Бонусы и поощрения за хорошие результаты;
· Заработная плата (оклад + премии);
· ДМС, страхование от несчастных случаев;
· Программа льготного кредитования в Сбербанке;
· Дисконт-программы от компаний партнеров.
Направляйте резюме в Telegram: @katemisha (Катя)
Forwarded from Екатерина Куницына
#вакансия #AppSec #pentest #пентест #Сбер
Компания: Сбер
Позиция: AppSec engineer/Pentester
ЗП: 200-300К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: на выбор: удаленно/офис/смешанный график
Обязанности:
- Анализ защищённости веб-приложений (white/gray box), анализ защищённости backend-приложений;
- Разработка, интеграция различного инструментария в процессы DevOps;
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Подготовка рекомендаций по устранению уязвимостей в приложениях.
Требования:
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP);
- Знание SQL (T-SQL, PL/SQL);
- Понимание методологии OWASP ASVS и умение с ней работать;
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- Навыки работы с инструментами DAST;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD; (SDLC, DevSecOps).
Контакт: Telegram: @katemisha (Катя), e-mail: EMVarlygina@sberbank.ru
Компания: Сбер
Позиция: AppSec engineer/Pentester
ЗП: 200-300К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: на выбор: удаленно/офис/смешанный график
Обязанности:
- Анализ защищённости веб-приложений (white/gray box), анализ защищённости backend-приложений;
- Разработка, интеграция различного инструментария в процессы DevOps;
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Подготовка рекомендаций по устранению уязвимостей в приложениях.
Требования:
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP);
- Знание SQL (T-SQL, PL/SQL);
- Понимание методологии OWASP ASVS и умение с ней работать;
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- Навыки работы с инструментами DAST;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD; (SDLC, DevSecOps).
Контакт: Telegram: @katemisha (Катя), e-mail: EMVarlygina@sberbank.ru
Forwarded from Vlad Ershov
#вакансия #pentest #appsec
Коллеги, в вендора (решения в области анализа больших данных и ML - isgneuro.ru) требуется специалист по прикладной безопасности для внутренних задач. ЗП 150-250 тр на руки. Офис - м. Серпуховская, удаленка также имеется. Писать можно мне в личку или на почту vlad@isgneuro.com
Обязанности:
Анализ защищенности веб-ресурсов, облачной реализации ОТ.Платформы, сетевых сервисов и мобильных приложений, интегрируемых с ОТ.Платформой.
Анализ архитектуры платформы и кода приложений с целью выявления потенциально уязвимых мест.
Разработка рекомендаций по устранению уязвимостей.
Консультирование разработчиков по разработке безопасного кода.
Контроль устранения уязвимостей.
Участие в разработке архитектуры безопасности Платформы и её облачной реализации.
Требования:
Опыт работы в области практического анализа защищенности и тестирования на проникновение.
Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях.
Опыт статического анализа кода.
Linux на профессиональном уровне.
Знание особенностей работы с open source продуктами и уверенное владение стеком LEMP.
Желательно:
Опыт динамического анализа кода;
Опыт эксплуатации уязвимостей в сети;
Знания принципов функционирования систем массово-параллельной обработки информации на базе продуктов Apache Spark/Hadoop/NiFi
Регистрация/апдейт CVE.
Условия:
ДМС.
Офис рядом с метро Серпуховская.
Возможность удаленной работы.
Обучение и сертификация.
Коллеги, в вендора (решения в области анализа больших данных и ML - isgneuro.ru) требуется специалист по прикладной безопасности для внутренних задач. ЗП 150-250 тр на руки. Офис - м. Серпуховская, удаленка также имеется. Писать можно мне в личку или на почту vlad@isgneuro.com
Обязанности:
Анализ защищенности веб-ресурсов, облачной реализации ОТ.Платформы, сетевых сервисов и мобильных приложений, интегрируемых с ОТ.Платформой.
Анализ архитектуры платформы и кода приложений с целью выявления потенциально уязвимых мест.
Разработка рекомендаций по устранению уязвимостей.
Консультирование разработчиков по разработке безопасного кода.
Контроль устранения уязвимостей.
Участие в разработке архитектуры безопасности Платформы и её облачной реализации.
Требования:
Опыт работы в области практического анализа защищенности и тестирования на проникновение.
Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях.
Опыт статического анализа кода.
Linux на профессиональном уровне.
Знание особенностей работы с open source продуктами и уверенное владение стеком LEMP.
Желательно:
Опыт динамического анализа кода;
Опыт эксплуатации уязвимостей в сети;
Знания принципов функционирования систем массово-параллельной обработки информации на базе продуктов Apache Spark/Hadoop/NiFi
Регистрация/апдейт CVE.
Условия:
ДМС.
Офис рядом с метро Серпуховская.
Возможность удаленной работы.
Обучение и сертификация.
Forwarded from Anna
#вакансия #москва #fulltime #удаленка #appsec
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
solidlab.ru
Главная
Forwarded from Екатерина Куницына
#вакансия #AppSec #pentest #пентест #Сбер
Компания: Сбер
Позиция: AppSec engineer/Pentester
ЗП: 200-300К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: на выбор: удаленно/офис/смешанный график
Обязанности:
- Анализ защищённости веб-приложений (white/gray box), анализ защищённости backend-приложений;
- Разработка, интеграция различного инструментария в процессы DevOps;
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Подготовка рекомендаций по устранению уязвимостей в приложениях.
Требования:
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP);
- Знание SQL (T-SQL, PL/SQL);
- Понимание методологии OWASP ASVS и умение с ней работать;
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- Навыки работы с инструментами DAST;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD; (SDLC, DevSecOps).
Контакт: Telegram: @katemisha (Катя), e-mail: EMVarlygina@sberbank.ru
Компания: Сбер
Позиция: AppSec engineer/Pentester
ЗП: 200-300К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: на выбор: удаленно/офис/смешанный график
Обязанности:
- Анализ защищённости веб-приложений (white/gray box), анализ защищённости backend-приложений;
- Разработка, интеграция различного инструментария в процессы DevOps;
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Подготовка рекомендаций по устранению уязвимостей в приложениях.
Требования:
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc);
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП;
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP);
- Знание SQL (T-SQL, PL/SQL);
- Понимание методологии OWASP ASVS и умение с ней работать;
- Знание скриптовых языков программирования и навыки разработки прикладных инструментов для проведения тестов на проникновение;
- Навыки работы с инструментами DAST;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD; (SDLC, DevSecOps).
Контакт: Telegram: @katemisha (Катя), e-mail: EMVarlygina@sberbank.ru
Forwarded from Anna
#вакансия #москва #fulltime #удаленка #appsec
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
solidlab.ru
Главная
Forwarded from Anna
#вакансия #москва #fulltime #удаленка #appsec
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
solidlab.ru
Главная
Forwarded from Anna
#вакансия #москва #fulltime #удаленка #appsec
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
Всем привет! 👋🏼
Вакансия: Application security engineer/ Application security lead
Зарплатная вилка: 200 - 300 т. рублей net
Локация: Москва, м. Академическая
Формат работы: офис/удаленно
Занятость: полная
Компания Solid Lab https://www.solidlab.ru/ с 2011 года занимается offensive security, включая анализ приложений и тесты на проникновение.
Вам предстоит:
- Аудит сложных приложений методом белого и черного ящика (Интернет-банки, масштабные микросервисные архитектуры);
- Участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения;
- Участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые мог привести к инциденту, анализ факторов компрометации (иногда);
- Участие в исследовательских (R&D) проектах в области веб-безопасности (по желанию).
Наши ожидания:
- Системные знания современных веб-технологий – серверных и клиентских;
- Системные знания в области Application Securitу;
- Опыт поиска и эксплуатации недостатков как по коду приложения, так и черным ящиком;
- Навыки чтения исходного кода, умение разбираться в коде на новых языках программирования;
- Знание Burp Suite Professional;
- Умение чётко и грамотно формулировать свои мысли в письменном виде.
Преимуществом будет:
- Опыт анализа защищённости мобильных приложений;
- Опыт разработки веб-приложений, знание современных шаблонов проектирования;
- Знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
- Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов;
- Опыт участия в CTF;
- Наличие профильных сертификатов.
Условия:
- Предусмотрены бонусы по итогам сложных проектов, за обнаружение критичных уязвимостей (в т.ч. 0day и получение CVE), за выступления на конференциях, по итогам года;
- Свободный график, возможность удалённой работы;
- Возможность профессионального и карьерного роста – в частности, возможность участия в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
- Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
- Крутые коллеги с опытом 10+ лет (сотрудники компании занимают высокие позиции в мировом рейтинге в CTF соревнованиях);
- Относительно плоская структура и минимум бюрократии.
Вопросы и резюме отправляйте в телеграм @dizanna или на почту ADizer@sk.ru 🙂
solidlab.ru
Главная
Forwarded from Aigul
#вакансия #fulltime #фуллтайм #удаленно #remote #appsec #analyst
Application Security Analyst
inDriver
ЗП 250-350 т.р.(выше обсуждаемо)
Любой формат работы. После исп. срока предполагается релокация на Кипр или в Казахстан (другие страны обсуждаемы).
Компания не под санкциями.
Tg @M_Aigul
inDriver — международный сервис пассажирских перевозок. Мы создаем глобальный высокотехнологичный продукт, который меняет жизнь миллионов людей к лучшему. Входим в топ-3 мобильных сервисов для заказа поездок в мире — 100 млн. установок, 1 млрд. поездок, 600+ городов в 40+ странах мира.
Обязанности:
- Актуализация матриц доступа пользователей приложения;
- Анализ GUI-интерфейса на наличие лишних данных, данных, которые можно убрать за отдельные элементы, данных, требующих сокрытия от - пользователя;
- Выдвижение требований по логированию;
- Анализ и актуализация флоу передачи данных;
- Выявление уязвимостей, особенно в бизнес-логике приложения;
- Взаимодействие с командой разработки для исправления найденных дефектов.
Требования:
- Аналитический склад ума и опыт успешной работы на больших проектах;
- Понимание механизмов работы и атак на веб-приложения.
Будет плюсом:
- Навыки программирования на любом языке;
- Опыт разработки или безопасности в части фронтенда веб-приложений
- Английский B2 и выше;
- Собственные наработки и достижения в области безопасности веб/мобильных приложений;
- Участие в Bug Bounty / разбор, запуск Bug Bounty / собственные CVE.
Мы предлагаем:
- Стабильную заработную плату, соблюдение трудового законодательства;
- ДМС со стоматологией с первого дня работы;
- Необходимое для работы оборудование;
- Возможности профессионального и карьерного роста, регулярное внешнее и внутреннее обучение от наших партнеров;
- Занятия английским языком;
- Доступ к корпоративной библиотеке;
- Программы личностного роста.
Application Security Analyst
inDriver
ЗП 250-350 т.р.(выше обсуждаемо)
Любой формат работы. После исп. срока предполагается релокация на Кипр или в Казахстан (другие страны обсуждаемы).
Компания не под санкциями.
Tg @M_Aigul
inDriver — международный сервис пассажирских перевозок. Мы создаем глобальный высокотехнологичный продукт, который меняет жизнь миллионов людей к лучшему. Входим в топ-3 мобильных сервисов для заказа поездок в мире — 100 млн. установок, 1 млрд. поездок, 600+ городов в 40+ странах мира.
Обязанности:
- Актуализация матриц доступа пользователей приложения;
- Анализ GUI-интерфейса на наличие лишних данных, данных, которые можно убрать за отдельные элементы, данных, требующих сокрытия от - пользователя;
- Выдвижение требований по логированию;
- Анализ и актуализация флоу передачи данных;
- Выявление уязвимостей, особенно в бизнес-логике приложения;
- Взаимодействие с командой разработки для исправления найденных дефектов.
Требования:
- Аналитический склад ума и опыт успешной работы на больших проектах;
- Понимание механизмов работы и атак на веб-приложения.
Будет плюсом:
- Навыки программирования на любом языке;
- Опыт разработки или безопасности в части фронтенда веб-приложений
- Английский B2 и выше;
- Собственные наработки и достижения в области безопасности веб/мобильных приложений;
- Участие в Bug Bounty / разбор, запуск Bug Bounty / собственные CVE.
Мы предлагаем:
- Стабильную заработную плату, соблюдение трудового законодательства;
- ДМС со стоматологией с первого дня работы;
- Необходимое для работы оборудование;
- Возможности профессионального и карьерного роста, регулярное внешнее и внутреннее обучение от наших партнеров;
- Занятия английским языком;
- Доступ к корпоративной библиотеке;
- Программы личностного роста.
Forwarded from Bounty On Coffee
#Вакансия #Москва #appsec
ООО "Непрерывные технологии" (DeteAct) нужны специалисты по анализу защищённости веб-приложений.
Не под санкциями, есть глобальное направление.
Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.
Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки
Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.
Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.
Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.
Связь: @r0hack, @beched
hh: https://hh.ru/vacancy/68107810
ООО "Непрерывные технологии" (DeteAct) нужны специалисты по анализу защищённости веб-приложений.
Не под санкциями, есть глобальное направление.
Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности.
Мы — одни из лидеров на рынке услуг по оценке защищённости в России.
Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив злоумышленников.
Задача: участие в проектах по тестированию на проникновение и анализу защищённости приложений.
Вилка: 120-170 т.р. на руки
Обязанности:
— Анализ защищённости веб-приложений, фронтендов, API, исходного кода,
— Работа в команде как с российскими, так и зарубежными заказчиками (корпорации, стартапы, банки, компании любого размера и из различных индустрий),
— При желании: совместные исследования, разработка продуктов и сервисов, участие в соревнованиях и конференциях.
Примерные требования:
— Опыт проведения пентестов, понимание методологии, умение находить, эксплуатировать и объяснять основные веб-уязвимости,
— Уверенное владение всем необходимым инструментарием (Burp Suite, расширения, различные сканеры и нюансы их конфигурации) и технологическим стеком (программирование),
— Умение формулировать стандартные рекомендации по исправлению багов,
— Умение корректно оценивать уровень риска уязвимостей, придумывать атаки на бизнес-логику.
Условия:
— Работа удалённо или в московском офисе в БЦ "Савёловский Сити",
— Молодой коллектив и быстрорастущая компания,
— Время на исследования и публикации,
— Участие в конференциях и обучение.
Связь: @r0hack, @beched
hh: https://hh.ru/vacancy/68107810
#ИБ #Вакансия #удаленнаяработа #devsecops #appsec #cloud #security #альфабанк #банк
DevSecOps Engineer, Альфа-банк 🅰️
ЗП: 250-300т (в зависимости от знаний и опыта) + квартальная премия 15%
Локация: Москва/Санкт-Петербург или удаленный формат
Чем предстоит заниматься:
- Выстраивать DevSecOps (внедрение практик по сканированию образов, Dockerfile, IaC, поиску секретов, etc.)
- Анализировать результаты сканирования SAST (Fortify/CodeQL/Semgrep), SCA (Dependency Track), DAST (Netsparker, OWASP ZAP)
- Консультировать команды разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
- Участвовать в проработке мер по повышению безопасности Kubernetes (CR в конфигурационные файлы, повышение безопасности API, RBAC, построение безопасности архитектуры, работа с Kyverno, Luntry, внедрение Container Security решений)
- Прорабатывать вопросы безопасности CI/CD процессов (Jenkins, GitLab)
Также есть возможность:
- Участвовать в разработке собственной платформы оркестрации DevSecOps (Python FastAPI, Vue.js)
Важно для нас:
- Знание подхода DevSecOps и пониние, как построить процесс безопасной разработки с минимальным аффектом на time-to-market
- Опыт работы с Kubernetes
- Опыт написания pipeline
- Опыт проведения Code Review и SAST
- Понимание принципов микросервисной архитектуры приложений
- Опыт работы с Security сканерами и внедрение их в пайплайны
- Понимание принципов SSDLC
Будет огромным плюсом:
- Наличие опыта и желания разработки веб приложений на Python
- Опыт работы с облаками (Я.Облако) Security
Контакты: @cis_deem
DevSecOps Engineer, Альфа-банк 🅰️
ЗП: 250-300т (в зависимости от знаний и опыта) + квартальная премия 15%
Локация: Москва/Санкт-Петербург или удаленный формат
Чем предстоит заниматься:
- Выстраивать DevSecOps (внедрение практик по сканированию образов, Dockerfile, IaC, поиску секретов, etc.)
- Анализировать результаты сканирования SAST (Fortify/CodeQL/Semgrep), SCA (Dependency Track), DAST (Netsparker, OWASP ZAP)
- Консультировать команды разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
- Участвовать в проработке мер по повышению безопасности Kubernetes (CR в конфигурационные файлы, повышение безопасности API, RBAC, построение безопасности архитектуры, работа с Kyverno, Luntry, внедрение Container Security решений)
- Прорабатывать вопросы безопасности CI/CD процессов (Jenkins, GitLab)
Также есть возможность:
- Участвовать в разработке собственной платформы оркестрации DevSecOps (Python FastAPI, Vue.js)
Важно для нас:
- Знание подхода DevSecOps и пониние, как построить процесс безопасной разработки с минимальным аффектом на time-to-market
- Опыт работы с Kubernetes
- Опыт написания pipeline
- Опыт проведения Code Review и SAST
- Понимание принципов микросервисной архитектуры приложений
- Опыт работы с Security сканерами и внедрение их в пайплайны
- Понимание принципов SSDLC
Будет огромным плюсом:
- Наличие опыта и желания разработки веб приложений на Python
- Опыт работы с облаками (Я.Облако) Security
Контакты: @cis_deem
#иб #вакансия #удаленнаяработа #devsecops #appsec #dso #cloud #security #самолет
AppSec\DevSecOps
В Группу Компаний Самолет https://samolet.ru/
ГК Самолёт основана в 2012 году и является одной из самых быстрорастущих компаний на рынке недвижимости. Таких результатов мы достигли за счет высоких темпов строительства и применения современных технологий.
Локация: в офисе м. Молодежная или удаленно из любой локации,
ЗП: 240-290т (в зависимости от знаний и опыта)
Формат работы: офис или удаленно (по желанию)
Занятость: полная
В целях обеспечения безопасности собственной экосистемы компания ищет специалистов по направлению Application Security и DevSecOps.
Что нужно будет делать:
• Проводить анализ защищенности мобильных и веб-приложений,
• Внедрять сканеры безопасности (SAST, SCA, DAST и тд.) и автоматизировать процессы сканирования,
• Предоставлять рекомендации и консультировать проектные команды по вопросам безопасности и результатам сканирования,
• Прорабатывать риски и вопросы безопасности в рамках SDLC
• Проводить тестирование на проникновение разрабатываемых приложений
• Разрабатывать стандарты по безопасной разработке, подготавливать обучающие материалы.
Основные требования:
• Понимание архитектуры приложений, уязвимостей и способов их эксплуатации
• Опыт работы с SAST, SCA, DAST
• Умение читать код на Python/.NET/GoLang/JS/TS
• Опыт написания скриптов для автоматизации задач (Python)
• Опыт работы с GitLab и практические навыки в построении CI/CD.
• Понимание основные принципов и механизмов безопасности систем контейнеризации и оркестрации (Docker, Kubernetes)
Преимуществом будет:
• Опыт работы с SAST: Bandit, Semgrep, AppScreener,
• Опыт работы с SCA: Dependency Check\Track,
• Опыт работы с DAST: ZAP
• Опыт работы с системами WAF
• Опыт проведения пентестов веб-приложений.
• Опыт работы с linux, docker, kubernetes на уровне администратора
Условия:
• Возможность принять участие в создании экосистемы и построении процессов безопасной разработки компании
• Гибридный формат работы: по согласованию с командой вы можете работать удалённо из любой локации или в офисе БЦ Кунцево Плаза, м. Молодежная (кстати, наш офис получил премию «Трансформация года» в 2021г.)
• Расширенный пакет ДМС и страхование от несчастных случаев с первого месяца работы, льготное ДМС для близких родственников, страхование имущества и пр.
• Компенсация мобильной связи (корпоративная сим-карта) для тех, кому нужно всегда быть на связи
• Рост и развитие в компании: регулярная обратная связь каждому сотруднику, индивидуальная программа развития, обучающие мероприятия и широкий доступ к материалам в том числе ведущих образовательных платформ
• Скидки для сотрудников на недвижимость группы “Самолет”, индивидуальные условия по рассрочке
По более детальным вопросам по вакансии прошу писать в личные сообщения или на почту:
@AnnaRo_hr, a.rokhmistrova@samolet.ru
AppSec\DevSecOps
В Группу Компаний Самолет https://samolet.ru/
ГК Самолёт основана в 2012 году и является одной из самых быстрорастущих компаний на рынке недвижимости. Таких результатов мы достигли за счет высоких темпов строительства и применения современных технологий.
Локация: в офисе м. Молодежная или удаленно из любой локации,
ЗП: 240-290т (в зависимости от знаний и опыта)
Формат работы: офис или удаленно (по желанию)
Занятость: полная
В целях обеспечения безопасности собственной экосистемы компания ищет специалистов по направлению Application Security и DevSecOps.
Что нужно будет делать:
• Проводить анализ защищенности мобильных и веб-приложений,
• Внедрять сканеры безопасности (SAST, SCA, DAST и тд.) и автоматизировать процессы сканирования,
• Предоставлять рекомендации и консультировать проектные команды по вопросам безопасности и результатам сканирования,
• Прорабатывать риски и вопросы безопасности в рамках SDLC
• Проводить тестирование на проникновение разрабатываемых приложений
• Разрабатывать стандарты по безопасной разработке, подготавливать обучающие материалы.
Основные требования:
• Понимание архитектуры приложений, уязвимостей и способов их эксплуатации
• Опыт работы с SAST, SCA, DAST
• Умение читать код на Python/.NET/GoLang/JS/TS
• Опыт написания скриптов для автоматизации задач (Python)
• Опыт работы с GitLab и практические навыки в построении CI/CD.
• Понимание основные принципов и механизмов безопасности систем контейнеризации и оркестрации (Docker, Kubernetes)
Преимуществом будет:
• Опыт работы с SAST: Bandit, Semgrep, AppScreener,
• Опыт работы с SCA: Dependency Check\Track,
• Опыт работы с DAST: ZAP
• Опыт работы с системами WAF
• Опыт проведения пентестов веб-приложений.
• Опыт работы с linux, docker, kubernetes на уровне администратора
Условия:
• Возможность принять участие в создании экосистемы и построении процессов безопасной разработки компании
• Гибридный формат работы: по согласованию с командой вы можете работать удалённо из любой локации или в офисе БЦ Кунцево Плаза, м. Молодежная (кстати, наш офис получил премию «Трансформация года» в 2021г.)
• Расширенный пакет ДМС и страхование от несчастных случаев с первого месяца работы, льготное ДМС для близких родственников, страхование имущества и пр.
• Компенсация мобильной связи (корпоративная сим-карта) для тех, кому нужно всегда быть на связи
• Рост и развитие в компании: регулярная обратная связь каждому сотруднику, индивидуальная программа развития, обучающие мероприятия и широкий доступ к материалам в том числе ведущих образовательных платформ
• Скидки для сотрудников на недвижимость группы “Самолет”, индивидуальные условия по рассрочке
По более детальным вопросам по вакансии прошу писать в личные сообщения или на почту:
@AnnaRo_hr, a.rokhmistrova@samolet.ru
AppSec #вакансия #appsec #sast #dast
CARCADE - первая автолизинговая компания в РФ, с 2020 года входит в ГК Газпромбанк Лизинг.
https://www.carcade.com/
Локация: м. Таганская
ЗП: до 330 000 net + квартальные премии
Формат работы: офис/ гибрид
Занятость: полная
В целях обеспечения безопасности и развития направления мы ищем специалиста по направлению Application Security
📌 Задачи:
• Анализ архитектуры создаваемых и дорабатываемых ИТ-систем на безопасность при их проектировании и разработке;
• Внедрение SAST/DAST/IAST в пайплайны внутренней разработки;
• Hardening образов из которых разворачивается инфраструктурные сервисы компании.
• Формализация требований по безопасности к разработке и организация контроля их выполнения при разработке/доработке ИТ-систем на всех этапах: написание кода, сборка приложений, развертывание, предпромышленное тестирование;
• Участие в работе по анализу защищенности информационных систем, включая аудит исходных кодов систем и их компонентов SAST/DAST/IAST;
📌 Основные требования:
• Умение пользоваться SAST/DAST/Fuzzерами и опыт их настройки под конкретные приложения;
• Опыт работы с Docker на уровне управления контейнерами и траблшутинга;
• Опыт работы с любым инструментом CI/CD (Jenkins, GitLab и пр.);
• Опыт проведения Code Review и SAST;
• Опыт настройки и автоматизации nginx, linux-сервисов;
• Навыки работы с Linux на уровне уверенного пользователя;
• Опыт написания собственных приложений на python, go;
• Знание основных методологий в области SDLC.
📌 Условия:
• Официальное трудоустройство по ТК РФ с первого рабочего дня, белая заработная плата;
• График 5/2 (полная занятость, офис/ гибрид);
• Перспективы карьерного и профессионального роста;
• Расширенный социальный пакет: полный пакет ДМС, страховка при выезде за рубеж, компенсация питания в офисе, обучение, оплачиваемый больничный, корпоративные скидки на занятиях в фитнес-клубах, система материальной помощи и выгодные условия для сотрудников по приобретению автомобилей.
📌 Контакты: @ekfedotova , почта efedotova@carcade.com
CARCADE - первая автолизинговая компания в РФ, с 2020 года входит в ГК Газпромбанк Лизинг.
https://www.carcade.com/
Локация: м. Таганская
ЗП: до 330 000 net + квартальные премии
Формат работы: офис/ гибрид
Занятость: полная
В целях обеспечения безопасности и развития направления мы ищем специалиста по направлению Application Security
📌 Задачи:
• Анализ архитектуры создаваемых и дорабатываемых ИТ-систем на безопасность при их проектировании и разработке;
• Внедрение SAST/DAST/IAST в пайплайны внутренней разработки;
• Hardening образов из которых разворачивается инфраструктурные сервисы компании.
• Формализация требований по безопасности к разработке и организация контроля их выполнения при разработке/доработке ИТ-систем на всех этапах: написание кода, сборка приложений, развертывание, предпромышленное тестирование;
• Участие в работе по анализу защищенности информационных систем, включая аудит исходных кодов систем и их компонентов SAST/DAST/IAST;
📌 Основные требования:
• Умение пользоваться SAST/DAST/Fuzzерами и опыт их настройки под конкретные приложения;
• Опыт работы с Docker на уровне управления контейнерами и траблшутинга;
• Опыт работы с любым инструментом CI/CD (Jenkins, GitLab и пр.);
• Опыт проведения Code Review и SAST;
• Опыт настройки и автоматизации nginx, linux-сервисов;
• Навыки работы с Linux на уровне уверенного пользователя;
• Опыт написания собственных приложений на python, go;
• Знание основных методологий в области SDLC.
📌 Условия:
• Официальное трудоустройство по ТК РФ с первого рабочего дня, белая заработная плата;
• График 5/2 (полная занятость, офис/ гибрид);
• Перспективы карьерного и профессионального роста;
• Расширенный социальный пакет: полный пакет ДМС, страховка при выезде за рубеж, компенсация питания в офисе, обучение, оплачиваемый больничный, корпоративные скидки на занятиях в фитнес-клубах, система материальной помощи и выгодные условия для сотрудников по приобретению автомобилей.
📌 Контакты: @ekfedotova , почта efedotova@carcade.com
#вакансия #Application #security #DevSecOps #AppSec
Application security specialist
✅ГК Fix - международный холдинг и ИТ-инкубатор. Мы запускаем технологичные продукты в сфере FinTech.
Сейчас открыта вакансия на проект по международной платежной системе с головным офисом в Лондоне.
📍Локация: Казань или удаленно
📌Занятость: полная
📋Опыт: от 2-х лет
💰ЗП от 230 000 на руки
Основные задачи:
• Выстраивание, тестирование и внедрение процессов безопасной разработки. Создание роли Security Champions
• Анализ архитектуры разрабатываемого ПО с точки зрения безопасности, подготовка требований безопасности и моделирование угроз ИБ
• Развертывание, внедрение в pipeline инструментов тестирования безопасности для разрабатываемого софта
• Инструментальный анализ безопасности микросервисов и ПО, анализ отчетов инструментов, установление оценки критичности и формирование рекомендаций по устранению уязвимостей
• Работа с зависимостями, сборкой и безопасностью supply chain, поиск секретов и отслеживание уязвимостей в третье сторонних библиотеках
• Взаимодействие с командами разработки для совместного разбора найденных дефектов и дальнейшее их устранение
• Запуск и поддержка программы Bug Bounty
• Проведение тестов на проникновение
Необходимые навыки:
• Знание стандартов и методик разработки защищенного ПО, соответствующих фреймворков и протоколов, понимание методологий MS SDL, BSIMM, OpenSAMM, OWASP и WASC
•Опыт организации и внедрения процесса безопасной разработки
•Опыт интеграции средств информационной безопасности в процессы CI\CD
•Понимание логики, возможностей и опыт работы следующих классов решений: Source Code Management (GitLab, GitHub), CI/CD (Git, TeamCity), Registry (Nexus, Artifactory), Task tracker (JIRA), Code Analysis Tools (SonarQube, SemGrep, GitLeaks, OWASP), Dependency Check, GoSec, etc), Vulnerability management (OWASP DefectDojo), SAST (Checkmarx, SemGrep), OAST (SNYK), DAST (Burp, ZAP), Secret Management (truffleHog, HashiCorp Vault)
•Знание Bash, Python или любого другого средства скриптовой автоматизации
•Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10
•Опыт настройки механизмов безопасности для K8S
•Понимание принципов работы современных веб-приложений, облачной инфраструктуры, контейниризированных приложений и микросервисной архитектуры
•Умение читать исходный код и выявлять уязвимости языков программирования из списка: Java, .Net (C#), JavaScript, Python, Kotlin
•Знание OS Linux на уровне администратора
Мы предлагаем:
•Официальное оформление
•Достойный уровень дохода (обсуждается индивидуально)
•Уютный офис в центре города Казань или полностью удаленка
•Интересные задачи и работа в команде профессионалов
•Корпоративные праздники и мероприятия
•Скидка на изучение английского языка от одной из крупнейших онлайн-школ
•Корпоративный спорт (футбол, волейбол, йога)
•Корпоративный психолог
•ДМС со стоматологией
✉️Контакт HR: @lisevaoksana
Application security specialist
✅ГК Fix - международный холдинг и ИТ-инкубатор. Мы запускаем технологичные продукты в сфере FinTech.
Сейчас открыта вакансия на проект по международной платежной системе с головным офисом в Лондоне.
📍Локация: Казань или удаленно
📌Занятость: полная
📋Опыт: от 2-х лет
💰ЗП от 230 000 на руки
Основные задачи:
• Выстраивание, тестирование и внедрение процессов безопасной разработки. Создание роли Security Champions
• Анализ архитектуры разрабатываемого ПО с точки зрения безопасности, подготовка требований безопасности и моделирование угроз ИБ
• Развертывание, внедрение в pipeline инструментов тестирования безопасности для разрабатываемого софта
• Инструментальный анализ безопасности микросервисов и ПО, анализ отчетов инструментов, установление оценки критичности и формирование рекомендаций по устранению уязвимостей
• Работа с зависимостями, сборкой и безопасностью supply chain, поиск секретов и отслеживание уязвимостей в третье сторонних библиотеках
• Взаимодействие с командами разработки для совместного разбора найденных дефектов и дальнейшее их устранение
• Запуск и поддержка программы Bug Bounty
• Проведение тестов на проникновение
Необходимые навыки:
• Знание стандартов и методик разработки защищенного ПО, соответствующих фреймворков и протоколов, понимание методологий MS SDL, BSIMM, OpenSAMM, OWASP и WASC
•Опыт организации и внедрения процесса безопасной разработки
•Опыт интеграции средств информационной безопасности в процессы CI\CD
•Понимание логики, возможностей и опыт работы следующих классов решений: Source Code Management (GitLab, GitHub), CI/CD (Git, TeamCity), Registry (Nexus, Artifactory), Task tracker (JIRA), Code Analysis Tools (SonarQube, SemGrep, GitLeaks, OWASP), Dependency Check, GoSec, etc), Vulnerability management (OWASP DefectDojo), SAST (Checkmarx, SemGrep), OAST (SNYK), DAST (Burp, ZAP), Secret Management (truffleHog, HashiCorp Vault)
•Знание Bash, Python или любого другого средства скриптовой автоматизации
•Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10
•Опыт настройки механизмов безопасности для K8S
•Понимание принципов работы современных веб-приложений, облачной инфраструктуры, контейниризированных приложений и микросервисной архитектуры
•Умение читать исходный код и выявлять уязвимости языков программирования из списка: Java, .Net (C#), JavaScript, Python, Kotlin
•Знание OS Linux на уровне администратора
Мы предлагаем:
•Официальное оформление
•Достойный уровень дохода (обсуждается индивидуально)
•Уютный офис в центре города Казань или полностью удаленка
•Интересные задачи и работа в команде профессионалов
•Корпоративные праздники и мероприятия
•Скидка на изучение английского языка от одной из крупнейших онлайн-школ
•Корпоративный спорт (футбол, волейбол, йога)
•Корпоративный психолог
•ДМС со стоматологией
✉️Контакт HR: @lisevaoksana
#вакансия #fulltime #ИБ #DevSecOps #AppSec
AppSec/ DevSecOps специалист
Компания: Hyundai
Формат работы: офис (в Москва-сити)
Компенсации: 220 000 - 270 000 нетт (обсуждаемо, в зависимости от опыта) + годовой бонус и широкий соц пакет (ДМС, страхование от несчастных случаев, компенсация питания, мобильная связь, компенсация фитнеса, обучения английскому и другие бенефиты)
Задачи:
• Управление мероприятиями по обеспечению безопасности веб-приложений и мобильных приложений, внедрение передовых методов безопасной разработки;
• Улучшение аспектов технической безопасности для внутренних ресурсов;
• Участие в кросс-функциональных проектах в качестве эксперта в области безопасности;
• Упреждающее обнаружение проблем безопасности и их устранение;
• Поддержка процесса реагирования на инциденты;
Требования:
• Опыт в тестировании безопасности программного обеспечения;
• Опыт в построении процессов безопасной разработки приложений;
• Опыт в DevSecOps;
• Знание английского языка на уровне Intermediate или выше
Контакты: @Maria_V_Klimova
AppSec/ DevSecOps специалист
Компания: Hyundai
Формат работы: офис (в Москва-сити)
Компенсации: 220 000 - 270 000 нетт (обсуждаемо, в зависимости от опыта) + годовой бонус и широкий соц пакет (ДМС, страхование от несчастных случаев, компенсация питания, мобильная связь, компенсация фитнеса, обучения английскому и другие бенефиты)
Задачи:
• Управление мероприятиями по обеспечению безопасности веб-приложений и мобильных приложений, внедрение передовых методов безопасной разработки;
• Улучшение аспектов технической безопасности для внутренних ресурсов;
• Участие в кросс-функциональных проектах в качестве эксперта в области безопасности;
• Упреждающее обнаружение проблем безопасности и их устранение;
• Поддержка процесса реагирования на инциденты;
Требования:
• Опыт в тестировании безопасности программного обеспечения;
• Опыт в построении процессов безопасной разработки приложений;
• Опыт в DevSecOps;
• Знание английского языка на уровне Intermediate или выше
Контакты: @Maria_V_Klimova
#вакансия #СберМедИИ #AppSec
Позиция: Ведущий инженер по безопасности приложений (AppSec)
Компания: СберМедИИ
Локация: Москва, Сколково
ЗП: от 350К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: удаленно в РФ/офис/смешанный график (на выбор)
Обязанности:
- имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения;
- внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов;
- проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей;
- осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности;
- сопровождение внешних тестирований на проникновение.
Требования:
- знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
- практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.);
- умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir);
- навыки работы с инструментами SAST, DAST, SCA/OSA, др.;
- понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps.
Условия:
- аккредитованная ИТ-компания;
- привлекательная заработная плата;
- премии по итогам работы;
- возможность работать удаленно либо в современном офисе Сколково;
- гибкое начало и окончание рабочего дня, свободный дресс-код;
- ДМС с 1-ого дня оформления.
https://hh.ru/vacancy/79822357
Направляйте резюме/вопросы в Telegram @Alishia_l или на почту a.matus@sbermed.ai
Позиция: Ведущий инженер по безопасности приложений (AppSec)
Компания: СберМедИИ
Локация: Москва, Сколково
ЗП: от 350К (в зависимости от опыта и знаний)
Занятость: полная
Формат работы: удаленно в РФ/офис/смешанный график (на выбор)
Обязанности:
- имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения;
- внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов;
- проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей;
- осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности;
- сопровождение внешних тестирований на проникновение.
Требования:
- знание и понимание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
- практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.);
- умение разбираться в чужом коде (Python, JavaScript/TypeScript, Erlang/Elixir);
- навыки работы с инструментами SAST, DAST, SCA/OSA, др.;
- понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps.
Условия:
- аккредитованная ИТ-компания;
- привлекательная заработная плата;
- премии по итогам работы;
- возможность работать удаленно либо в современном офисе Сколково;
- гибкое начало и окончание рабочего дня, свободный дресс-код;
- ДМС с 1-ого дня оформления.
https://hh.ru/vacancy/79822357
Направляйте резюме/вопросы в Telegram @Alishia_l или на почту a.matus@sbermed.ai
#appsec #pentest #owasp #application_security #sast #dast
Инженер по безопасности приложений (Application Security) в банк Открытие
Локация: Москва, м. Бауманская (после ИС переход на гибрид, преимущественно удалённо)
Доход: 200 000-250 000 руб.
О нас: Наша команда повышает уровень безопасности финансовых продуктов и услуг, встраивает контроли безопасности в производственный цикл, анализирует защищенность и тестирует приложения.
Задачи:
-Анализ угроз и защищенности веб, мобильных приложений и инфраструктуры (Application Security, SAST/DAST/IAST);
-Внутреннее и внешнее тестирование корпоративных систем на проникновение (Black box, Grey box, White box);
-Threat hunting;
-Red Teaming.
Мы ожидаем от вас:
-Понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM), знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code inijection и т.д.);
-Опыт поиска и эксплуатации уязвимостей инструментально, их верификации;
-Опыт проведения тестов на проникновение (Penetration test), использования утилит: nmap, metasploit, burp suite pro, а также из GNU Kali Linux;
-Знание сетевых технологий (TCP/IP), основных уязвимостей сетевых протоколов;
-Понимание работы веб-протоколов и технологий (HTTP, HTTPS, SOAP, AJAX, JSON, REST), основных веб-уязвимостей (OWASP Top 10);
-Мониторинг трендов киберугроз, техник и тактик злоумышленников (TTP);
-Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10.
Будет плюсом:
-Владение одним из языков: C#, Java, Python, Ruby, PHP, JavaScript, SQL;
-Владение скриптовым языком (asp, php, python, perl, bash, powershell);
-Сертификаты OSCP, CEH;Опыт проведения security code review;
-Опыт работы с инструментами безопасной разработки (SAST/DAST/IAST) в конвейере CI/CD;
-Высшее образование по направлению ИТ/ИБ.
Мы предлагаем:
-Оформление в штат в соответствии с ТК;
-Премирование по результатам работы;
-ДМС со стоматологией, полис ВЗР, скидки на ДМС для близких родственников;
-Профессиональное развитие, обучение в корпоративном университете;
-Льготные ставки на банковские и страховые продукты «Открытия», скидки от компаний-партнеров (моб. связь, фитнес, англ. и т.д.).
Для связи: @Galia_V (Галия)
Инженер по безопасности приложений (Application Security) в банк Открытие
Локация: Москва, м. Бауманская (после ИС переход на гибрид, преимущественно удалённо)
Доход: 200 000-250 000 руб.
О нас: Наша команда повышает уровень безопасности финансовых продуктов и услуг, встраивает контроли безопасности в производственный цикл, анализирует защищенность и тестирует приложения.
Задачи:
-Анализ угроз и защищенности веб, мобильных приложений и инфраструктуры (Application Security, SAST/DAST/IAST);
-Внутреннее и внешнее тестирование корпоративных систем на проникновение (Black box, Grey box, White box);
-Threat hunting;
-Red Teaming.
Мы ожидаем от вас:
-Понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM), знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code inijection и т.д.);
-Опыт поиска и эксплуатации уязвимостей инструментально, их верификации;
-Опыт проведения тестов на проникновение (Penetration test), использования утилит: nmap, metasploit, burp suite pro, а также из GNU Kali Linux;
-Знание сетевых технологий (TCP/IP), основных уязвимостей сетевых протоколов;
-Понимание работы веб-протоколов и технологий (HTTP, HTTPS, SOAP, AJAX, JSON, REST), основных веб-уязвимостей (OWASP Top 10);
-Мониторинг трендов киберугроз, техник и тактик злоумышленников (TTP);
-Умение воспроизводить атаки для демонстрации угрозы реализации уязвимостей из OWASP Top 10.
Будет плюсом:
-Владение одним из языков: C#, Java, Python, Ruby, PHP, JavaScript, SQL;
-Владение скриптовым языком (asp, php, python, perl, bash, powershell);
-Сертификаты OSCP, CEH;Опыт проведения security code review;
-Опыт работы с инструментами безопасной разработки (SAST/DAST/IAST) в конвейере CI/CD;
-Высшее образование по направлению ИТ/ИБ.
Мы предлагаем:
-Оформление в штат в соответствии с ТК;
-Премирование по результатам работы;
-ДМС со стоматологией, полис ВЗР, скидки на ДМС для близких родственников;
-Профессиональное развитие, обучение в корпоративном университете;
-Льготные ставки на банковские и страховые продукты «Открытия», скидки от компаний-партнеров (моб. связь, фитнес, англ. и т.д.).
Для связи: @Galia_V (Галия)
Forwarded from Artem Berdashkevich
Бердашкевич Артем (1) (1).pdf
228 KB