Application Security Engineer

ЛИАН — системный интегратор с фокусом в аналитике и управлении данными.

Мы работаем в трех направлениях:

1. Автоматизация управленческой отчетности (BI) в малом и среднем бизнесе. Строим хранилища данных, настраиваем сбор и интеграцию, разрабатываем отчеты и дэшборды. Наш стек в BI включает все современные инструменты, в том числе open-source ПО.

2. Заказная разработка аналитических систем. Когда у нашего клиента есть специфичный запрос, мы разрабатываем аналитические системы с нуля. Часто применяем подходы BigData, Data Science, актуальные подходы к программному анализу данных и прогнозированию.

3. Запуск и ресурсное обеспечение команд разработки в комплексных проектах цифровой трансформации. Мы усиливаем команды наших партнеров и клиентов собственными сотрудниками и обеспечиваем максимально быстрый старт новых проектов. Среди наших заказчиков - крупные системные интеграторы, банки, нефтегазовые, химические производства, логистические компании, стартапы.

• Проведение аудитов безопасности веб-приложений, API и мобильных приложений
• Поиск, анализ и эксплуатация уязвимостей (OWASP Top 10, API Top 10 и др.)
• Работа с SAST/DAST-инструментами, разработка кастомных правил и шаблонов
• Участие в процессах Secure SDLC: threat modeling, архитектурные и код-ревью
• Анализ исходного кода на предмет уязвимостей (Java, Python, Go, JS/TS и др.)
• Оценка безопасности микросервисной архитектуры, контейнеров и CI/CD
• Работа с системами управления уязвимостями и AppSec-платформами
• Подготовка отчётов по результатам аудитов и описание уязвимостей
• Разработка и настройка правил для WAF
• Взаимодействие с командами разработки по вопросам устранения уязвимостей

• Опыт практической работы в области AppSec не менее 3 лет, включая самостоятельное проведение аудитов безопасности веб-приложений, API и мобильных приложений.
• Глубокое знание актуальных векторов атак: OWASP Top 10, OWASP API Security Top 10, CWE, SANS Top 25. Способность не только называть, но и объяснять механику эксплуатации и методы защиты.
• Практический опыт работы с инструментами SAST (Semgrep, Checkmarx, SonarQube или аналоги) и DAST (Burp Suite Professional, OWASP ZAP, Nuclei). Опыт написания кастомных правил или шаблонов — обязателен.
• Опыт работы в процессах Secure SDLC: участие в threat modeling, security review архитектуры, ревью кода с точки зрения безопасности.
• Умение читать и анализировать код на одном или нескольких языках из стека: Java, Python, Go, Kotlin, JavaScript/TypeScript. Знание характерных для каждого языка паттернов уязвимостей.
• Понимание архитектуры микросервисов, REST/gRPC API, контейнеризации (Docker, Kubernetes) и CI/CD-пайплайнов с точки зрения безопасности.
• Опыт работы с ASOC-платформами или системами управления уязвимостями (AppSec.Hub, Шерлок, DefectDojo или аналоги).
• Способность самостоятельно писать техническую документацию на русском языке: отчёты по аудитам, threat model, security notes, описания уязвимостей.
• Умение писать правила для WAF на основе анализа уязвимостей и имеющих актуальных угроз.

Желательные требования:

• Наличие сертификации по направлению информационной безопасности: CEH, OSCP, CREST Certified Tester (CT), CREST Web Application Penetration Testing Certification (CRT) или аналогичных практических сертификатов в области AppSec / пентестинга.
• Опыт построения или участия в AppSec-программе: Security Champions, Security Requirements, интеграция безопасности в SDLC.

• Форма трудоустройства на ваш выбор: договору оказания услуг с ИП или самозанятым
• Участие в интересных масштабных проектах с Заказчиками федерального и международного уровня
• Работа с передовыми технологиями
• Возможности профессионального и карьерного роста
• Полностью удаленная работа
• Регулярная и достойная оплата труда

В нашей команде работают профессионалы с разносторонним опытом. Здесь ты найдешь профессиональные задачи и новые вызовы, сможешь реализовать свой потенциал.
Хочешь стать частью нашей команды? Мы ждем твоего отклика и свяжемся с тобой !