Application Security Engineer в Банк «Санкт-Петербург»

Требования:

• высшее техническое образование в области ИТ или ИБ;
• опыт работы в качестве Application Security Engineer или похожей должности (Penetration testing, и т.д.) более 1 года;
• понимание принципов построения и работы современных веб-приложений;
• уверенные знания дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
• навык работы и настройки Jenkins;
• желателен уровень владения английским не ниже среднего (чтение технической документации и переписка с представителями интеграторов и разработчиков средств защиты).

Обязанности:

• формирование требований к безопасности на самом раннем этапе жизненного цикла продукта;
• выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов: статический анализ исходного кода (преимущественно приложения и микросервисы на Kotlin, Java, JavaScript, и мобильные приложения под iOS и Android) с помощью Positive Technologies Application Inspector, White Source; динамический анализ и сканирование приложений на наличие уязвимостей с помощью Positive Technologies Application Inspector, Tenable Web Application Scanner, OWASP ZAP;
• анализ полученных отчетов от сканеров, анализ выявленных уязвимостей, отсеивание ложноположительных срабатываний и последующая передача отчета разработчикам на устранение, контроль устранения;
• разработка рекомендаций для разработчиков по устранению выявленных уязвимостей;
• организация и контроль за проведением пентестов веб-приложений с привлечением внешней экспертизы;
• оптимизация и автоматизация процесса проведения аудита, внедрение SAST в CI/CD пайплайн;
• настройка (разработка новых правил) для SAST и DAST-сканеров;
• поиск, пилотирование и внедрение новых решений в области безопасной разработки.

Откликнуться:

CV на personal@bspb.ru