security engineer

MAX представляет собой цифровую платформу, объединяющую мессенджер, мини-приложения, нейропомощник, платёжный сервис и конструктор чат-ботов.

• Внедрять и развивать процессы безопасной разработки на всех этапах жизненного цикла ПО;
• Проводить ручное тестирование безопасности веб-приложений, мобильных приложений и API, а также участвовать в программах Bug Bounty;
• Использовать инструменты статического и динамического анализа кода, проводить триаж и составлять рекомендации по устранению уязвимостей;
• Проводить экспертный анализ исходного кода на предмет уязвимостей;
• Консультировать разработчиков, архитекторов и DevOps-инженеров по вопросам безопасности и проведению воркшопов;
• Управлять процессом классификации, приоритизации и контроля устранения найденных уязвимостей;
• Создавать и внедрять стандарты безопасного программирования, чек-листы и лучшие практики.

• Опыт работы на позиции AppSec-инженера или пентестера веб-приложений от двух лет;
• Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей;
• Опыт работы с инструментами SAST, DAST, SCA (Burp Suite, OWASP ZAP и другие);
• Умение читать и понимать код на Python, Go, Java или JavaScript;
• Знание протоколов и технологий HTTP/HTTPS, SSL/TLS, REST API, JWT;
• Понимание принципов работы CI/CD-систем (GitLab CI, GitHub Actions, Jenkins);
• Умение понятно объяснять сложные концепции безопасности разработчикам;
• Стремление автоматизировать рутину и постоянно учиться новому;
• Будет плюсом опыт проведения моделирования угроз, навыки в области облачной безопасности, знание Docker, Kubernetes и принципов DevSecOps, наличие публичных работ, статей, докладов, выводы CVE, участие в Bug Bounty, а также профильные сертификации OSCP, OSWE, GWEB, CSSLP.

• Гибкий график работы;
• Бонусы и скидки от партнеров;
• Офис в центре города;
• ДМС;
• Профессиональная команда.