Application Security инженер в cloud.ru Москва

Инженер по безопасности приложений для интеграции инструментов безопасной разработки, анализа защищенности и сопровождения BugBounty.

Задачи:

• Взаимодействие с DevOps в рамках интеграции инструментов безопасной разработки
• Анализ защищенности приложений (тестирование продукта с помощью автоматизированных инструментов) (SAST/DAST/SCA, Container security и т.д.)
• Предоставлять командам информацию о найденных уязвимостях и помогать в их устранении
• Участие в разработке правил для автоматизированных инструментов (SAST/DAST и т.д.)
• Участвовать в сопровождении BugBounty

Требования:

• Знание и понимания принципов эксплуатации угроз из OWASP Top 10, CWE Top 25 и защиты от них
• Навыки работы с инструментами SAST, DAST, SCA/OSA, ASOC, др.
• Понимание принципов устройства REST/gRPC API
• Понимание принципов работы K8S – операторы, webhooks, reconciliation loop
• Понимание принципов построения безопасного межсервисного взаимодействия
• Опыт работы с инструментами контейнеризации (Docker, K8S) и автоматического развертывания
• Базовые знания основ DevOps/DevSecOps (ландшафт систем, их назначение, решаемые задачи, общее понимание процессов)
• Опыт анализа исходного кода и выявления уязвимостей, как минимум на Go/Python

Навыки:

• SAST
• DAST
• SCA
• ASOC
• REST
• gRPC
• K8S
• Docker
• Go
• Python
• OWASP Top 10
• CWE Top 25
• DevOps
• DevSecOps
• Container security