AppSec инженер + AppSec Lead, SENSE Group
ЗП: до 350 для миддл/сеньор, до 500 для руководителя команды AppSec
Уровень: middle, senior и Lead
Локация: РФ
Формат работы: удалёнка по РФ или гибрид по желанию, начало работы в 8-10 по мск
Занятость: фулл-тайм
Открыты проекты:
Рителейн, фарм, логистика, социальная сеть - web, mobile и 1 desktop проект.
Обязанности:
• работать в тандеме с программистами;
• повышать культуру безопасности у разработчиков;
• обсуждение безопасности архитектуры будущих приложений и разработок;
• помощь в автоматизации задач по ИБ;
• проверка кода перед релизом продукта (код-ревью, SAST и DAST).
Требования:
• умение читать несколько языков (проекты: PHP, JS, Kotlin, Python и др.) ;
• опыт работы в CI/CD Pipeline;
• опыт поиска уязвимостей методом White box;
• опыт внедрения межсервисной аутентификации (service mesh) будет плюсом.
Контакты: Telegram: @Ivan_IT_HR
ЗП: до 350 для миддл/сеньор, до 500 для руководителя команды AppSec
Уровень: middle, senior и Lead
Локация: РФ
Формат работы: удалёнка по РФ или гибрид по желанию, начало работы в 8-10 по мск
Занятость: фулл-тайм
Открыты проекты:
Рителейн, фарм, логистика, социальная сеть - web, mobile и 1 desktop проект.
Обязанности:
• работать в тандеме с программистами;
• повышать культуру безопасности у разработчиков;
• обсуждение безопасности архитектуры будущих приложений и разработок;
• помощь в автоматизации задач по ИБ;
• проверка кода перед релизом продукта (код-ревью, SAST и DAST).
Требования:
• умение читать несколько языков (проекты: PHP, JS, Kotlin, Python и др.) ;
• опыт работы в CI/CD Pipeline;
• опыт поиска уязвимостей методом White box;
• опыт внедрения межсервисной аутентификации (service mesh) будет плюсом.
Контакты: Telegram: @Ivan_IT_HR
DevSecOps, SENSE Group
ЗП: 350-500 на руки (зависит от квалификации)
Уровень: middle+/senior
Локация: РФ или дружественные страны
Формат работы: удалённая работа
Занятость: фулл-тайм
Обязанности:
• быть техническим лидером, что курирует процесс безопасной разработки;
• внедрять новые средства для анализа кода, защиты пайплайнов, контейнеров и т.п;
• обучение DevOps, программистов, AppSec новым инструментам;
• помогать с безопасностью кода (читать код).
Требования:
• опыт работы с Docker, Kubernetes и их безопасностью;
• опыт внедрения новых инструментов;
• опыт в разработки правил для инструментов по анализу защищённости;
Контакты: Telegram: @Ivan_IT_HR
ЗП: 350-500 на руки (зависит от квалификации)
Уровень: middle+/senior
Локация: РФ или дружественные страны
Формат работы: удалённая работа
Занятость: фулл-тайм
Обязанности:
• быть техническим лидером, что курирует процесс безопасной разработки;
• внедрять новые средства для анализа кода, защиты пайплайнов, контейнеров и т.п;
• обучение DevOps, программистов, AppSec новым инструментам;
• помогать с безопасностью кода (читать код).
Требования:
• опыт работы с Docker, Kubernetes и их безопасностью;
• опыт внедрения новых инструментов;
• опыт в разработки правил для инструментов по анализу защищённости;
Контакты: Telegram: @Ivan_IT_HR
DevSecOps Engineer, технологическая компания (индустрия развлечений)
ЗП: 4000 - 7000€ на руки.
Формат работы: гибридный формат с релокейтом на Лимассол
Занятость: полная
Чем предстоит заниматься:
— Совместно с DevOps изучать текущую ситуацию с безопасностью в OKD;
— Принимать участие в обеспечении безопасности контейнерной/облачной среды;
— Анализировать и описывать текущие показатели безопасности в OKD;
Мы ожидаем от кандидата:
— Более 3х лет коммерческого опыта в области безопасности;
— Опыт автоматизации CI / CD на RedHat OpenShift;
— Рабочие знания OpenShift/Kubernetes и Container Orchestration;
— Уверенные знания SSL сетевых протоколов TCP/IP.
Будет плюсом:
— Опыт работы с результатами SAST/SCA;
— Опыт работы с SIEM;
— Навыки написания сценариев/программирования.
Контакты: @recruiter_it_24
ЗП: 4000 - 7000€ на руки.
Формат работы: гибридный формат с релокейтом на Лимассол
Занятость: полная
Чем предстоит заниматься:
— Совместно с DevOps изучать текущую ситуацию с безопасностью в OKD;
— Принимать участие в обеспечении безопасности контейнерной/облачной среды;
— Анализировать и описывать текущие показатели безопасности в OKD;
Мы ожидаем от кандидата:
— Более 3х лет коммерческого опыта в области безопасности;
— Опыт автоматизации CI / CD на RedHat OpenShift;
— Рабочие знания OpenShift/Kubernetes и Container Orchestration;
— Уверенные знания SSL сетевых протоколов TCP/IP.
Будет плюсом:
— Опыт работы с результатами SAST/SCA;
— Опыт работы с SIEM;
— Навыки написания сценариев/программирования.
Контакты: @recruiter_it_24
Application Security Engineer, Cheelee
ЗП: от 250 000 до 350 000 рублей на руки
Формат работы: Удаленная работа
Функционал:
1. Проведение тестирования на безопасность мобильных приложений и веб ресурсов компании
2. Написание документов рекомендаций для команд разработки по исправлению найденных уязвимостей
3. Участие в создании документов рекомендаций по внедрению новых защитных механизмов в разрабатываемые мобильные приложения для платформ Android и IOS.
4. Администрирование WAF и Anti-DDoS решений (желательно опыт работы с CloudFlare).
5. Автоматизация рутинных задач.
6. Выполнение личного плана профессионального развития.
7. Возможно привлечение к пилотным проектам.
Общие требования
1. Высшее образование (желательно техническое, приоритетно направление информационной безопасности).
2. Навык проведения тестирования на защищенность мобильных и web приложений.
3. Навыки работы с реляционными и не реляционными базами данных.
4. Базовые навыки работы с командной оболочкой для Unix подобных операционных систем.
5. Опыт работы минимум с одним из скриптовых языков (приоритет python, golang).
6. Общий опыт работы по необходимому функционалу от 2 лет.
Контакты: https://www.tg-me.com/nikolaevich_nik
ЗП: от 250 000 до 350 000 рублей на руки
Формат работы: Удаленная работа
Функционал:
1. Проведение тестирования на безопасность мобильных приложений и веб ресурсов компании
2. Написание документов рекомендаций для команд разработки по исправлению найденных уязвимостей
3. Участие в создании документов рекомендаций по внедрению новых защитных механизмов в разрабатываемые мобильные приложения для платформ Android и IOS.
4. Администрирование WAF и Anti-DDoS решений (желательно опыт работы с CloudFlare).
5. Автоматизация рутинных задач.
6. Выполнение личного плана профессионального развития.
7. Возможно привлечение к пилотным проектам.
Общие требования
1. Высшее образование (желательно техническое, приоритетно направление информационной безопасности).
2. Навык проведения тестирования на защищенность мобильных и web приложений.
3. Навыки работы с реляционными и не реляционными базами данных.
4. Базовые навыки работы с командной оболочкой для Unix подобных операционных систем.
5. Опыт работы минимум с одним из скриптовых языков (приоритет python, golang).
6. Общий опыт работы по необходимому функционалу от 2 лет.
Контакты: https://www.tg-me.com/nikolaevich_nik
Cloud․ru открыл прием заявок на оплачиваемую стажировку для AppSec-инженеров — AppSecCamp. Податься можно до 6 апреля.
Наш идеальный кандидат:
🟢 студент или недавний выпускник с небольшим опытом
🟢 знает один (или даже несколько) из этих языков: Go, Python, C, C++, JavaScript, TypeScript
🟢 готов работать 40 часов в неделю с мая по август (возможен удаленный формат работы и гибкий график)
🟢 заряжен на успех и работу в супер-команде Cloud․ru
За три месяца наши стажеры научатся:
✅ определять уязвимости в коде на языках Go, Python, JavaScript, TypeScript и других
✅ разбираться и понимать, как работает виртуализация, контейнеризация и оркестрация с точки зрения безопасности
✅ работать с SAST-, DAST- и SCA-инструментами
✅ проводить моделирование угроз и security code review
Обещаем хорошо платить, развивать и кормить всеми вкусностями, которые есть в офисе 🫶
Наш идеальный кандидат:
🟢 студент или недавний выпускник с небольшим опытом
🟢 знает один (или даже несколько) из этих языков: Go, Python, C, C++, JavaScript, TypeScript
🟢 готов работать 40 часов в неделю с мая по август (возможен удаленный формат работы и гибкий график)
🟢 заряжен на успех и работу в супер-команде Cloud․ru
За три месяца наши стажеры научатся:
✅ определять уязвимости в коде на языках Go, Python, JavaScript, TypeScript и других
✅ разбираться и понимать, как работает виртуализация, контейнеризация и оркестрация с точки зрения безопасности
✅ работать с SAST-, DAST- и SCA-инструментами
✅ проводить моделирование угроз и security code review
Обещаем хорошо платить, развивать и кормить всеми вкусностями, которые есть в офисе 🫶
Application Security Engineer, СК Пульс
ЗП: 300 - 500 тыс руб gross
Формат работы: гибридный (офис - г. Москва, ст. м. Киевская) или удаленный
Над чем предстоит работать:
• Анализ трендов, участие в создании стратегии развития практик и идеологии Application Security в процессах разработки компании;
• Инструментальный анализ решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
• Развитие и автоматизация процессов безопасной разработки, анализ рисков в приложениях внутренней разработки;
• Интеграция инструментария в процессы DevOps в сотрудничестве с DevSecOps;
• Участие в процессе Security Awareness в части, касающейся цикла безопасной разработки ПО;
• Анализ результатов работы средств контроля (SAST\DAST\SCA и т.д.): триаж, верификация багов, ручной code review (Java), предложения по устранению уязвимостей или мерам митигации совместно с командами разработки;
• Участие в настройке WAF для митигации отдельных угроз (nice to have);
• Запуск и поддержка BugBounty программы.
Нам важно:
• Уверенное понимание методологий, стандартов и практик в области безопасной разработки;
• Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости, в т.ч. на архитектурном уровне;
• Способность разбираться в чужом коде;
• Опыт приоритизации устранения уязвимостей;
• Опыт разработки на Java — как преимущество.
Контакты: @alla_blinova
ЗП: 300 - 500 тыс руб gross
Формат работы: гибридный (офис - г. Москва, ст. м. Киевская) или удаленный
Над чем предстоит работать:
• Анализ трендов, участие в создании стратегии развития практик и идеологии Application Security в процессах разработки компании;
• Инструментальный анализ решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
• Развитие и автоматизация процессов безопасной разработки, анализ рисков в приложениях внутренней разработки;
• Интеграция инструментария в процессы DevOps в сотрудничестве с DevSecOps;
• Участие в процессе Security Awareness в части, касающейся цикла безопасной разработки ПО;
• Анализ результатов работы средств контроля (SAST\DAST\SCA и т.д.): триаж, верификация багов, ручной code review (Java), предложения по устранению уязвимостей или мерам митигации совместно с командами разработки;
• Участие в настройке WAF для митигации отдельных угроз (nice to have);
• Запуск и поддержка BugBounty программы.
Нам важно:
• Уверенное понимание методологий, стандартов и практик в области безопасной разработки;
• Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости, в т.ч. на архитектурном уровне;
• Способность разбираться в чужом коде;
• Опыт приоритизации устранения уязвимостей;
• Опыт разработки на Java — как преимущество.
Контакты: @alla_blinova
DevSecOps specialist, СК Пульс
ЗП: 300 - 500 тыс руб gross
Формат работы: гибридный (офис - г. Москва, ст. м. Киевская) или удаленный
Над чем предстоит работать:
• Во взаимодействии с Application Security формировать требования безопасности, имплементировать и настраивать средства контроля в рамках цикла безопасной разработки ПО (SSDLC), supply chain security, контейнеризации и средств оркестрации контейнеров (Docker, Kubernetes)
• Консультирование внутренних и внешних команд разработки в вопросах организации процессов безопасной разработки ПО на всех этапах жизненного цикла
• Тесное взаимодействие с DevOps, формирование рекомендаций по устранению уязвимостей и misconfigurations
Нам важно:
• Знание стандартов и лучших практик по обеспечению безопасности разрабатываемых приложений, а также средств контейнеризации и оркестрации контейнеров (OWASP, CIS, etc)
• Понимание цикла безопасной разработки приложений, CI/CD, места инструментов безопасности в pipelines.
• Практический опыт установки и настройки инструментов безопасности — SAST, DAST, SCA, Admission Controllers, Container Runtime Security, Defect Management
• Опыт разработки рабочей документации
Контакты: @alla_blinova
ЗП: 300 - 500 тыс руб gross
Формат работы: гибридный (офис - г. Москва, ст. м. Киевская) или удаленный
Над чем предстоит работать:
• Во взаимодействии с Application Security формировать требования безопасности, имплементировать и настраивать средства контроля в рамках цикла безопасной разработки ПО (SSDLC), supply chain security, контейнеризации и средств оркестрации контейнеров (Docker, Kubernetes)
• Консультирование внутренних и внешних команд разработки в вопросах организации процессов безопасной разработки ПО на всех этапах жизненного цикла
• Тесное взаимодействие с DevOps, формирование рекомендаций по устранению уязвимостей и misconfigurations
Нам важно:
• Знание стандартов и лучших практик по обеспечению безопасности разрабатываемых приложений, а также средств контейнеризации и оркестрации контейнеров (OWASP, CIS, etc)
• Понимание цикла безопасной разработки приложений, CI/CD, места инструментов безопасности в pipelines.
• Практический опыт установки и настройки инструментов безопасности — SAST, DAST, SCA, Admission Controllers, Container Runtime Security, Defect Management
• Опыт разработки рабочей документации
Контакты: @alla_blinova
AppSec инженер, Mango Office
ЗП: до 250к руб
Уровень: junior/middle/middle+
Локация: РФ (преимущественно Екатеринбург)
Формат работы: удалёнка по РФ или гибрид по желанию
Какие задачи нужно будет выполнять:
•Администрирование систем анализа приложений (SAST/SCA/DAST)
• Разработка вспомогательных сервисов ИБ (Python/JS/Go/Rust)
• Обеспечение безопасности микросервисной инфраструктуры приложений (k8s)
• Проведение комплексного анализа защищенности веб-приложений
• Код ревью - ручное и с помощью SAST
• Статический анализ исходного кода с помощью Solar AppScreener, CodeQL, Semgrep, CheckMarx
Раcсчитываем, что у тебя будет:
• Понимание основных принципов построения SSDLC и принципов DevOps
• Знание уязвимости из OWASP Top Ten, и понимание способов защиты от них
• Знание как минимум одного языка программирования из стека:
Наш стек: C++, Java, PHP, JavaScript, Kotlin, Swift, Psql, фреймворки: ReactNative, Angular, React, Vue, Bitrix, Laravel, Spring, Qt
• Высшее образование в сфере ИТ / ИБ (готовы обучать и рассматривать студентов последних курсов)
Контакты: @Ekaterina_IT_HR
ЗП: до 250к руб
Уровень: junior/middle/middle+
Локация: РФ (преимущественно Екатеринбург)
Формат работы: удалёнка по РФ или гибрид по желанию
Какие задачи нужно будет выполнять:
•Администрирование систем анализа приложений (SAST/SCA/DAST)
• Разработка вспомогательных сервисов ИБ (Python/JS/Go/Rust)
• Обеспечение безопасности микросервисной инфраструктуры приложений (k8s)
• Проведение комплексного анализа защищенности веб-приложений
• Код ревью - ручное и с помощью SAST
• Статический анализ исходного кода с помощью Solar AppScreener, CodeQL, Semgrep, CheckMarx
Раcсчитываем, что у тебя будет:
• Понимание основных принципов построения SSDLC и принципов DevOps
• Знание уязвимости из OWASP Top Ten, и понимание способов защиты от них
• Знание как минимум одного языка программирования из стека:
Наш стек: C++, Java, PHP, JavaScript, Kotlin, Swift, Psql, фреймворки: ReactNative, Angular, React, Vue, Bitrix, Laravel, Spring, Qt
• Высшее образование в сфере ИТ / ИБ (готовы обучать и рассматривать студентов последних курсов)
Контакты: @Ekaterina_IT_HR
Преподаватель DevSecOps
ЗП: от 3000 до 5000 рублей в час
Формат: удаленный
Локация: РФ
Возможно совместительство.
Мы запускаем новый курс по DevSecOps. Стартуем уже в апреле.
Курс продлится 4,5 месяца.
Занятия проводятся онлайн 2 раза в неделю по 2 часа.
Что нужно делать:
- готовить материалы к занятим;
- вести лекции с ответами на вопросы студентов;
- задавать домашние задания (проверку ДЗ и консультации ведет отдельный наставник);
Требования:
- уровень Middle/Senior;
- опыт в DevSecOps от 2-х лет;
- опыт DevOps от 3-х лет;
- опыт работы с SCA, SAST, DAST;
- знание BSIMM, OWASP Top 10, OWASP SAMM;
- опыт работы со средствами DevOps (Kubernetes, Docker, Git);
- разработка на Java, Python, Ruby, Go.
Контакты:
Ника @Untrusted_lynxlynx
ЗП: от 3000 до 5000 рублей в час
Формат: удаленный
Локация: РФ
Возможно совместительство.
Мы запускаем новый курс по DevSecOps. Стартуем уже в апреле.
Курс продлится 4,5 месяца.
Занятия проводятся онлайн 2 раза в неделю по 2 часа.
Что нужно делать:
- готовить материалы к занятим;
- вести лекции с ответами на вопросы студентов;
- задавать домашние задания (проверку ДЗ и консультации ведет отдельный наставник);
Требования:
- уровень Middle/Senior;
- опыт в DevSecOps от 2-х лет;
- опыт DevOps от 3-х лет;
- опыт работы с SCA, SAST, DAST;
- знание BSIMM, OWASP Top 10, OWASP SAMM;
- опыт работы со средствами DevOps (Kubernetes, Docker, Git);
- разработка на Java, Python, Ruby, Go.
Контакты:
Ника @Untrusted_lynxlynx
Senior Application Security Engineer, Guavapay LTD
ЗП: 3000-4000 EUR на руки
Занятость: полная
Формат работы: удаленная или гибрид/офис в случае релокации в Азербайджан.
Обязанности:
• Проведение анализа защищенности и тестов на проникновение приложений (mobile/web) и сервисов;
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей;
• Автоматизация процессов безопасности;
• Исследовательская деятельность в области информационной безопасности (Security Research);
• Выстраивание процесса безопасной разработки ПО (Security SDLC).
Требования:
• Опыт работы в AppSec от 2 лет;
• Понимание принципов работы современных веб-приложений и их защиты;
• Знание векторов атак на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты;
• Знание приёмов митигации распространенных уязвимостей и безопасной разработки;
• Знание основных подходов и практик DevSecOps/AppSec, опыт работы с инструментами анализа (SAST, SCA, DAST), включая интеграцию инструментов в CI/CD;
• Умение разбираться в чужом коде (Golang, C#, Java);
• Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC);
• Опыт внедрения процессов и практик безопасной разработки;
• Понимание принципов работы технологий CI/CD, контейнеризации и оркестрации;
• Проведение собственных исследований, участие в BugBounty программах;
• Участие в СTF, наличие профильных сертификатов.
Контакты: @fuadtm
ЗП: 3000-4000 EUR на руки
Занятость: полная
Формат работы: удаленная или гибрид/офис в случае релокации в Азербайджан.
Обязанности:
• Проведение анализа защищенности и тестов на проникновение приложений (mobile/web) и сервисов;
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей;
• Автоматизация процессов безопасности;
• Исследовательская деятельность в области информационной безопасности (Security Research);
• Выстраивание процесса безопасной разработки ПО (Security SDLC).
Требования:
• Опыт работы в AppSec от 2 лет;
• Понимание принципов работы современных веб-приложений и их защиты;
• Знание векторов атак на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты;
• Знание приёмов митигации распространенных уязвимостей и безопасной разработки;
• Знание основных подходов и практик DevSecOps/AppSec, опыт работы с инструментами анализа (SAST, SCA, DAST), включая интеграцию инструментов в CI/CD;
• Умение разбираться в чужом коде (Golang, C#, Java);
• Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC);
• Опыт внедрения процессов и практик безопасной разработки;
• Понимание принципов работы технологий CI/CD, контейнеризации и оркестрации;
• Проведение собственных исследований, участие в BugBounty программах;
• Участие в СTF, наличие профильных сертификатов.
Контакты: @fuadtm
DevSecOps, Bell Integrator
ЗП: 250 000 – 300 000 net
Локация: Удаленно (по Мск времени)
Обязанности:
• Участвовать в построении процессов DevSecOps для крупных и современных проектов
• Внедрять инструменты SAST/SCA/DAST и развивать внутреннюю экспертизу по этим и другим направлениям (разработка правил, конфигурация, автоматизация)
• Работать с результатами проверок и консультировать команды разработки по возникающим вопросам
• Обеспечивать безопасность CI/CD процессов
• Также есть возможность участвовать в разработке собственной Application Security Orchestration and Corellation (ASOC) платформы
Требования:
• Опыт внедрения и использования инструментов DevSecOps (semgrep, CodeQL, trivy, OWASP ZAP и др.)
• Владение Linux на уровне администратора: конфигурация сервисов, траблшутинг, работа с docker
• Умение разбираться в чужом коде (Java, JS, TS, .NET)
• Опыт разработки и конфигурации пайплайнов CI/CD (Jenkins, Gitlab)
• Опыт разработки правил для инструментов SAST (semgrep, CodeQL).
Желательно:
• Опыт внедрения практик Supply Chain Security (SLSA, CIS SSC)
• Опыт работы с Docker, Kubernetes
Контакты: @Mariialovenn
ЗП: 250 000 – 300 000 net
Локация: Удаленно (по Мск времени)
Обязанности:
• Участвовать в построении процессов DevSecOps для крупных и современных проектов
• Внедрять инструменты SAST/SCA/DAST и развивать внутреннюю экспертизу по этим и другим направлениям (разработка правил, конфигурация, автоматизация)
• Работать с результатами проверок и консультировать команды разработки по возникающим вопросам
• Обеспечивать безопасность CI/CD процессов
• Также есть возможность участвовать в разработке собственной Application Security Orchestration and Corellation (ASOC) платформы
Требования:
• Опыт внедрения и использования инструментов DevSecOps (semgrep, CodeQL, trivy, OWASP ZAP и др.)
• Владение Linux на уровне администратора: конфигурация сервисов, траблшутинг, работа с docker
• Умение разбираться в чужом коде (Java, JS, TS, .NET)
• Опыт разработки и конфигурации пайплайнов CI/CD (Jenkins, Gitlab)
• Опыт разработки правил для инструментов SAST (semgrep, CodeQL).
Желательно:
• Опыт внедрения практик Supply Chain Security (SLSA, CIS SSC)
• Опыт работы с Docker, Kubernetes
Контакты: @Mariialovenn
AppSec
ЗП: 300 000 - 390 000 гросс
Локация: Удаленно/гибрид/офис (по Мск время)
Обязанности:
• Автоматизация различных задач AppSec и развитие инструментов безопасной разработки;
• Работа с анализаторами кода SAST/DAST/SCA и тд, разбор отчетов, разработка правил анализа;
• Ручной анализ кода;
• Взаимодействие с разработчиками в рамках процесса управления уязвимостями;
• Проведение консультаций по безопасной разработке;
• Анализ безопасности архитектуры ПО.
Требования:
• Имеете опыт работы с анализаторами кода и разработки правил для них;
• Понимаете архитектуру современных веб приложений на базе микросервисной архитектуры;
• Имеете широкий кругозор в безопасности и умеет формулировать требования;
• Обладаете навыками поиска уязвимостей с помощью ручного анализа кода и в режиме Blackbox;
• Уверенно владеете по крайней мере одним языком программирования (предпочтительно python/go).
Контакты: @sailorkatya
ЗП: 300 000 - 390 000 гросс
Локация: Удаленно/гибрид/офис (по Мск время)
Обязанности:
• Автоматизация различных задач AppSec и развитие инструментов безопасной разработки;
• Работа с анализаторами кода SAST/DAST/SCA и тд, разбор отчетов, разработка правил анализа;
• Ручной анализ кода;
• Взаимодействие с разработчиками в рамках процесса управления уязвимостями;
• Проведение консультаций по безопасной разработке;
• Анализ безопасности архитектуры ПО.
Требования:
• Имеете опыт работы с анализаторами кода и разработки правил для них;
• Понимаете архитектуру современных веб приложений на базе микросервисной архитектуры;
• Имеете широкий кругозор в безопасности и умеет формулировать требования;
• Обладаете навыками поиска уязвимостей с помощью ручного анализа кода и в режиме Blackbox;
• Уверенно владеете по крайней мере одним языком программирования (предпочтительно python/go).
Контакты: @sailorkatya
Offensive Application Security Engineer, Yclients
ЗП: 250 000 – 350 000 net
Локация: СПб/Мск (гибрид)
Обязанности:
* Проводить анализ защищённости веб и мобильных приложений
* Консультировать команды разработки и контролировать устранение выявленных уязвимостей
* Проводить архитектурное ревью и формировать требования безопасности веб-приложений
Требования:
* Опыт анализа защищённости веб и мобильных приложений
* Понимание техник эксплуатации уязвимостей и методов защиты приложений
* Понимание архитектур современных веб-приложений
* Знание лучших практик в разработке безопасных веб-приложений
* Владение Bash, Python, Go или любым другим средством скриптовой автоматизации
* Умение читать код и выявлять ошибки
Круто, если есть:
* Опыт работы в Application Security — от 1 года
* Наличие репортов о найденных уязвимостях в программах Bug Bounty или зарегистрированных CVE
* Наличие профильных сертификатов (OSCP, OSWE)
* Опыт участия в соревнованиях по информационной безопасности (CTF)
* Наличие активного профиля на обучающих площадках по информационной безопасности (например, HackTheBox)
* Понимание циклов SSDLC, DevSecOps
* Опыт выступления на профильных конференциях и написания профильных статей
Контакты: www.tg-me.com/safonov33
ЗП: 250 000 – 350 000 net
Локация: СПб/Мск (гибрид)
Обязанности:
* Проводить анализ защищённости веб и мобильных приложений
* Консультировать команды разработки и контролировать устранение выявленных уязвимостей
* Проводить архитектурное ревью и формировать требования безопасности веб-приложений
Требования:
* Опыт анализа защищённости веб и мобильных приложений
* Понимание техник эксплуатации уязвимостей и методов защиты приложений
* Понимание архитектур современных веб-приложений
* Знание лучших практик в разработке безопасных веб-приложений
* Владение Bash, Python, Go или любым другим средством скриптовой автоматизации
* Умение читать код и выявлять ошибки
Круто, если есть:
* Опыт работы в Application Security — от 1 года
* Наличие репортов о найденных уязвимостях в программах Bug Bounty или зарегистрированных CVE
* Наличие профильных сертификатов (OSCP, OSWE)
* Опыт участия в соревнованиях по информационной безопасности (CTF)
* Наличие активного профиля на обучающих площадках по информационной безопасности (например, HackTheBox)
* Понимание циклов SSDLC, DevSecOps
* Опыт выступления на профильных конференциях и написания профильных статей
Контакты: www.tg-me.com/safonov33
Application Security Specialist, HuntIT
Формат: удаленка
С чем предстоит работать:
• Анализ и тестирование безопасности приложений на предмет выявления уязвимостей;
• Разработка и внедрение мер безопасности при разработке и эксплуатации приложений;
• Проведение регулярных аудитов кода и архитектуры приложений на предмет соответствия стандартам безопасности;
• Разработка и внедрение планов по обеспечению безопасности приложений в сотрудничестве с командами разработки;
• Мониторинг новых угроз и уязвимостей, а также предложение мер по их предотвращению;
• Проведение обучающих мероприятий для разработчиков и персонала компании по вопросам безопасности приложений.
Здорово, если у тебя есть:
• Опыт работы в области безопасности приложений от 3 лет;
• Глубокие знания в области безопасности приложений, OWASP Top 10 и др;
• Опыт анализа безопасности кода и архитектуры приложений;
• Знание языков программирования (PHP, Python, Go, Java, Kotlin, C#) и технологий разработки и фреймворков на их основе;
• Опыт работы с инструментами тестирования безопасности приложений, такими как Burp Suite, OWASP ZAP и другими;
• Навыки анализа результатов сканирования уязвимостей и разработки рекомендаций по их устранению.
Дополнительные технические требования:
• Глубокое понимание архитектуры веб-приложений: Понимание клиент-серверных взаимодействий, обработки запросов, аутентификации, авторизации и управления сеансами;
• Знание методов и техник аутентификации и авторизации: OAuth, JWT, OpenID Connect и другие протоколы;
• Знание принципов разработки безопасного кода и аудита безопасности кода: Понимание обработки ввода, экранирования, SQL-инъекций, уязвимостей XSS, и CSRF;
• Опыт анализа мобильных приложений: Знание методов анализа безопасности Android и iOS приложений;
• Понимание принципов и технологий облачных вычислений: AWS, Azure, Google Cloud;
• Знание и понимание принципов криптографии: Асимметричные и симметричные алгоритмы, цифровые подписи, хэширование.
Популярные инструменты и технологии:
• Burp Suite;
• OWASP ZAP (Zed Attack Proxy);
• Veracode;
• Checkmarx;
• Python: Для автоматизации задач, разработки скриптов и создания собственных инструментов;
• Bash scripting;
• PHP, Go, java, Kotlin, C#: Знание этих языков может быть полезно для анализа и разработки безопасных приложений и компонентов.
Контакты:
@glafira_huntit
@kristina_HuntIT
@AlbinaHuntIT
Формат: удаленка
С чем предстоит работать:
• Анализ и тестирование безопасности приложений на предмет выявления уязвимостей;
• Разработка и внедрение мер безопасности при разработке и эксплуатации приложений;
• Проведение регулярных аудитов кода и архитектуры приложений на предмет соответствия стандартам безопасности;
• Разработка и внедрение планов по обеспечению безопасности приложений в сотрудничестве с командами разработки;
• Мониторинг новых угроз и уязвимостей, а также предложение мер по их предотвращению;
• Проведение обучающих мероприятий для разработчиков и персонала компании по вопросам безопасности приложений.
Здорово, если у тебя есть:
• Опыт работы в области безопасности приложений от 3 лет;
• Глубокие знания в области безопасности приложений, OWASP Top 10 и др;
• Опыт анализа безопасности кода и архитектуры приложений;
• Знание языков программирования (PHP, Python, Go, Java, Kotlin, C#) и технологий разработки и фреймворков на их основе;
• Опыт работы с инструментами тестирования безопасности приложений, такими как Burp Suite, OWASP ZAP и другими;
• Навыки анализа результатов сканирования уязвимостей и разработки рекомендаций по их устранению.
Дополнительные технические требования:
• Глубокое понимание архитектуры веб-приложений: Понимание клиент-серверных взаимодействий, обработки запросов, аутентификации, авторизации и управления сеансами;
• Знание методов и техник аутентификации и авторизации: OAuth, JWT, OpenID Connect и другие протоколы;
• Знание принципов разработки безопасного кода и аудита безопасности кода: Понимание обработки ввода, экранирования, SQL-инъекций, уязвимостей XSS, и CSRF;
• Опыт анализа мобильных приложений: Знание методов анализа безопасности Android и iOS приложений;
• Понимание принципов и технологий облачных вычислений: AWS, Azure, Google Cloud;
• Знание и понимание принципов криптографии: Асимметричные и симметричные алгоритмы, цифровые подписи, хэширование.
Популярные инструменты и технологии:
• Burp Suite;
• OWASP ZAP (Zed Attack Proxy);
• Veracode;
• Checkmarx;
• Python: Для автоматизации задач, разработки скриптов и создания собственных инструментов;
• Bash scripting;
• PHP, Go, java, Kotlin, C#: Знание этих языков может быть полезно для анализа и разработки безопасных приложений и компонентов.
Контакты:
@glafira_huntit
@kristina_HuntIT
@AlbinaHuntIT
AppSec Engineer, Киберпротект
ЗП: до 300к на руки (обсуждается после собеседования)
Уровень: Senior
Локация: РФ
Формат работы: удалёнка на территории РФ / гибрид / офис в Москве
Занятость: полная
Тебе предстоит отвечать за:
- поиск и исправление уязвимостей в коде;
- подготовку отчетов об уязвимостях и рекомендаций по их устранению;
- формирование чек-листов и инструкции по безопасному кодированию для разработчиков;
- консультирование разработчиков и контроль устранения выявленных уязвимостей;
- формирование требований безопасности и анализ безопасности архитектуры продуктов.
- выстраивание процесса Security champions в командах разработки и управление им.
Требования:
- умение анализировать исходный код на C++/Go и выявлять уязвимости;
- знание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF);
- опыт работы с инструментами SAST, DAST, SCA, ASOC;
- опыт работы пентестером и умение находить основные уязвимости из OWASP Top 10 & API;
- опыт выстраивания процесса Security champions в командах разработки.
Будет плюсом:
- знание valgrind, addrsanitizer, bullseye, svace, libfuzzer, statsviz, AFL++;
- имеешь опыт руководства командой инженеров Application Security.
Контакты: @Di_verbina
https://cyberprotect.ru/
ЗП: до 300к на руки (обсуждается после собеседования)
Уровень: Senior
Локация: РФ
Формат работы: удалёнка на территории РФ / гибрид / офис в Москве
Занятость: полная
Тебе предстоит отвечать за:
- поиск и исправление уязвимостей в коде;
- подготовку отчетов об уязвимостях и рекомендаций по их устранению;
- формирование чек-листов и инструкции по безопасному кодированию для разработчиков;
- консультирование разработчиков и контроль устранения выявленных уязвимостей;
- формирование требований безопасности и анализ безопасности архитектуры продуктов.
- выстраивание процесса Security champions в командах разработки и управление им.
Требования:
- умение анализировать исходный код на C++/Go и выявлять уязвимости;
- знание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF);
- опыт работы с инструментами SAST, DAST, SCA, ASOC;
- опыт работы пентестером и умение находить основные уязвимости из OWASP Top 10 & API;
- опыт выстраивания процесса Security champions в командах разработки.
Будет плюсом:
- знание valgrind, addrsanitizer, bullseye, svace, libfuzzer, statsviz, AFL++;
- имеешь опыт руководства командой инженеров Application Security.
Контакты: @Di_verbina
https://cyberprotect.ru/
Тимлид в команду безопасности Яндекс Браузера
Москва/Питер/Екатеринбург/Новосибирск/Казань
Мы ищем тимлида в команду, которая занимается безопасностью Браузера. Вы будете отвечать за ревью архитектурных решений, развитие процессов SDLC, безопасность кодовой базы приложения Браузера и соответствующих сервисов вокруг него, а также развивать команду и практики ИБ в рамках всей службы.
Какие задачи вас ждут
* Декомпозировать задачи и распределять их внутри команды
* Взаимодействовать с командами разработки и продукта: коммуницировать по статусу задач и участвовать в планировании больших изменений
* Проводить ревью архитектурных решений и кода компонентов Браузера, инфраструктуры и сервисов вокруг него
* Развивать процессы SDLC Браузера, проводить whitebox-аудиты, статический и динамический анализ, контроль уязвимых зависимостей, предлагать новые процессы и контроли
* Исследовать и предлагать компенсационные меры для защиты от эксплуатации уязвимостей и решения на их основе
* Поддерживать процессы ИБ
Мы ждём, что вы
* Разбираетесь в ИБ приложений и операционных систем
* Знакомы с основными принципами безопасности веб-приложений и браузеров
* Занимались аудитом исходного кода на C\+\+
* Умеете автоматизировать работу, используя Golang или Python
* Готовы погружаться в специфику смежных областей безопасности
* Умеете ставить задачи и следить за их выполнением
* Готовы брать на себя коммуникацию с заказчиками по стратегическим вопросам
Откликнуться
Для связи в тг @mivakina
Москва/Питер/Екатеринбург/Новосибирск/Казань
Мы ищем тимлида в команду, которая занимается безопасностью Браузера. Вы будете отвечать за ревью архитектурных решений, развитие процессов SDLC, безопасность кодовой базы приложения Браузера и соответствующих сервисов вокруг него, а также развивать команду и практики ИБ в рамках всей службы.
Какие задачи вас ждут
* Декомпозировать задачи и распределять их внутри команды
* Взаимодействовать с командами разработки и продукта: коммуницировать по статусу задач и участвовать в планировании больших изменений
* Проводить ревью архитектурных решений и кода компонентов Браузера, инфраструктуры и сервисов вокруг него
* Развивать процессы SDLC Браузера, проводить whitebox-аудиты, статический и динамический анализ, контроль уязвимых зависимостей, предлагать новые процессы и контроли
* Исследовать и предлагать компенсационные меры для защиты от эксплуатации уязвимостей и решения на их основе
* Поддерживать процессы ИБ
Мы ждём, что вы
* Разбираетесь в ИБ приложений и операционных систем
* Знакомы с основными принципами безопасности веб-приложений и браузеров
* Занимались аудитом исходного кода на C\+\+
* Умеете автоматизировать работу, используя Golang или Python
* Готовы погружаться в специфику смежных областей безопасности
* Умеете ставить задачи и следить за их выполнением
* Готовы брать на себя коммуникацию с заказчиками по стратегическим вопросам
Откликнуться
Для связи в тг @mivakina
Security Engineer, Medley
Compensation: 3100$ - 4000$ per month net
Work style: relocation to Japan, office
Japanese taxes include: Pension, Income tax, Health Insurance, Resident Tax (from the 2nd year of living in Japan)
Japan Tax Calculator: https://japantaxcalculator.com/
Background:
Medley is a socially conscious company dedicated to solving real societal needs through innovative projects. By focusing on customer value and continuous improvement, Medley tackles pressing social issues while also contributing to environmental sustainability. Through collaborations and CSR initiatives, Medley aims to create a positive impact on society while ensuring a sustainable future.
Responsibilities:
- Designing, implementing, and diagnosing security measures;
- Security assessment of existing products and code, written by other developers;
- Advising the developers team on how to optimize their code from the security standpoint;
- Maximizing the long-term value of services for customers, including patients, families, businesses, and workers;
- Diving deep into details to optimize team and company performance.
Desired Experience:
- Experience working as a Software Engineer - at least 5 years;
- Deep application security knowledge;
- Experience working with Ruby (RoR);
- Experience working with MongoDB, Aurora;
- Experience working with AWS Security solutions.
Good to have:
- Basic Japanese knowledge.
Perks and Benefits:
- Salary 3100$ - 4000$ per month net (¥600 000 - 800 000 per month gross);
- Bonus up to 6450$ (1 mln ¥) / year;
- Visa support;
- Relocation support (details are discussed during interview);
- Other benefits are discussed during the interview.
Contacts:
Telegram: @anatolital
Compensation: 3100$ - 4000$ per month net
Work style: relocation to Japan, office
Japanese taxes include: Pension, Income tax, Health Insurance, Resident Tax (from the 2nd year of living in Japan)
Japan Tax Calculator: https://japantaxcalculator.com/
Background:
Medley is a socially conscious company dedicated to solving real societal needs through innovative projects. By focusing on customer value and continuous improvement, Medley tackles pressing social issues while also contributing to environmental sustainability. Through collaborations and CSR initiatives, Medley aims to create a positive impact on society while ensuring a sustainable future.
Responsibilities:
- Designing, implementing, and diagnosing security measures;
- Security assessment of existing products and code, written by other developers;
- Advising the developers team on how to optimize their code from the security standpoint;
- Maximizing the long-term value of services for customers, including patients, families, businesses, and workers;
- Diving deep into details to optimize team and company performance.
Desired Experience:
- Experience working as a Software Engineer - at least 5 years;
- Deep application security knowledge;
- Experience working with Ruby (RoR);
- Experience working with MongoDB, Aurora;
- Experience working with AWS Security solutions.
Good to have:
- Basic Japanese knowledge.
Perks and Benefits:
- Salary 3100$ - 4000$ per month net (¥600 000 - 800 000 per month gross);
- Bonus up to 6450$ (1 mln ¥) / year;
- Visa support;
- Relocation support (details are discussed during interview);
- Other benefits are discussed during the interview.
Contacts:
Telegram: @anatolital
Senior Offensive Application Security Engineer, Equiti
Salary: Up to 5500€
Relocation to Cyprus, Armenia
Responsibilities:
* Conduct security analysis of web and mobile applications.
* Advise development teams and oversee the remediation of identified vulnerabilities.
* Conduct architectural reviews and formulate security requirements for web applications.
Requirements:
* Experience in analyzing the security of web and mobile applications.
* Understanding of vulnerability exploitation techniques and application defense methods.
* Knowledge of the architectures of modern web applications.
* Familiarity with best practices in secure web application development.
* Proficiency in Bash, Python, Go, or any other scripting automation tools.
* Ability to read code and identify errors.
Nice to have:
* At least one year of experience in Application Security.
* Proven track record with Bug Bounty program reports or registered CVEs.
* Relevant certifications (OSCP, OSWE).
* Experience in cybersecurity competitions (CTF).
* Active profile on cybersecurity training platforms (e.g., HackTheBox).
* Understanding of SSDLC, DevSecOps cycles.
* Experience presenting at industry conferences and writing technical articles.
Contact: @dvyakimov
Salary: Up to 5500€
Relocation to Cyprus, Armenia
Responsibilities:
* Conduct security analysis of web and mobile applications.
* Advise development teams and oversee the remediation of identified vulnerabilities.
* Conduct architectural reviews and formulate security requirements for web applications.
Requirements:
* Experience in analyzing the security of web and mobile applications.
* Understanding of vulnerability exploitation techniques and application defense methods.
* Knowledge of the architectures of modern web applications.
* Familiarity with best practices in secure web application development.
* Proficiency in Bash, Python, Go, or any other scripting automation tools.
* Ability to read code and identify errors.
Nice to have:
* At least one year of experience in Application Security.
* Proven track record with Bug Bounty program reports or registered CVEs.
* Relevant certifications (OSCP, OSWE).
* Experience in cybersecurity competitions (CTF).
* Active profile on cybersecurity training platforms (e.g., HackTheBox).
* Understanding of SSDLC, DevSecOps cycles.
* Experience presenting at industry conferences and writing technical articles.
Contact: @dvyakimov
AppSec-специалист по экспертному анализу исходного кода, SecWare
ЗП: 150К - 350К (размер обсуждается по итогам собеседования)
Локация: РФ
Задачи:
• Аудит исходного кода на предмет реализации бизнес-требований и функций безопасности;
• Исследование вопросов безопасности различных технологий;
• Консультация команд разработки и эксплуатации с целью повышению уровня безопасности программных решений и процессов.
Ожидаем от кандидата:
• Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.);
• Знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• Знание языков программирования: Python, Java, Kotlin, PHP, JavaScript, GoLang, C/C++;
• Знание best-practises по написанию исходного кода;
• Понимание основных проблем безопасности в high и low level программных решений.
Будет плюсом
• Практический опыт проведения анализа защищенности программных решений (black/gray/white box);
• Опыт разработки программных решений с применением паттернов безопасности;
• Выступление на профильных конференциях по информационной безопасности;
• Наличие подтверждающих сертификатов в области анализа защищенности и информационной безопасности.
Контакты:
@Alena_HR_SecWare
[email protected]
ЗП: 150К - 350К (размер обсуждается по итогам собеседования)
Локация: РФ
Задачи:
• Аудит исходного кода на предмет реализации бизнес-требований и функций безопасности;
• Исследование вопросов безопасности различных технологий;
• Консультация команд разработки и эксплуатации с целью повышению уровня безопасности программных решений и процессов.
Ожидаем от кандидата:
• Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.);
• Знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• Знание языков программирования: Python, Java, Kotlin, PHP, JavaScript, GoLang, C/C++;
• Знание best-practises по написанию исходного кода;
• Понимание основных проблем безопасности в high и low level программных решений.
Будет плюсом
• Практический опыт проведения анализа защищенности программных решений (black/gray/white box);
• Опыт разработки программных решений с применением паттернов безопасности;
• Выступление на профильных конференциях по информационной безопасности;
• Наличие подтверждающих сертификатов в области анализа защищенности и информационной безопасности.
Контакты:
@Alena_HR_SecWare
[email protected]
Senior Application Security Specialist, xStack
ЗП: 3 000 - 4 300 $ (валюта зависит от страны нахождения кандидата)
Занятость: полная
Локации: Грузия, Армения, Казахстан, Сербия
Формат работы: гибрид/удалённо
Обязанности:
• Поиск (ручной и автоматизированный) и эксплуатация уязвимостей;
• Предоставление PoC;
• Создание и поддержание политик WAF в актуальном состоянии;
• Анализ трафика, выявление аномалий, формирование паттернов и создание правил;
• Участие в разборе инцидентов ИБ;
• Формирование предложений по совершенствованию работы WAF;
• Консультирование и помощь в процессе закрытия уязвимостей;
• Участие в процессе обучения работников.
Требования:
• Практический опыт проведения ручного и автоматизированного анализа защищённости веб-приложений, подготовка PoC
• Опыт использования различных систем класса WAF (настройка политик и правил, анализ и реагирование на инциденты ИБ);
• Опыт работы с различными сканерами уязвимостей;
• Понимание принципов работы современных и не очень веб-приложений
• Понимание основных видов уязвимостей, атак и техник их проведения, методик тестирования;
• Умение читать чужой код;
• Английский язык на уровне чтения профессиональной технической литературы.
Будет плюсом:
• Наличие CVE
Контакты: @Hrpvl
ЗП: 3 000 - 4 300 $ (валюта зависит от страны нахождения кандидата)
Занятость: полная
Локации: Грузия, Армения, Казахстан, Сербия
Формат работы: гибрид/удалённо
Обязанности:
• Поиск (ручной и автоматизированный) и эксплуатация уязвимостей;
• Предоставление PoC;
• Создание и поддержание политик WAF в актуальном состоянии;
• Анализ трафика, выявление аномалий, формирование паттернов и создание правил;
• Участие в разборе инцидентов ИБ;
• Формирование предложений по совершенствованию работы WAF;
• Консультирование и помощь в процессе закрытия уязвимостей;
• Участие в процессе обучения работников.
Требования:
• Практический опыт проведения ручного и автоматизированного анализа защищённости веб-приложений, подготовка PoC
• Опыт использования различных систем класса WAF (настройка политик и правил, анализ и реагирование на инциденты ИБ);
• Опыт работы с различными сканерами уязвимостей;
• Понимание принципов работы современных и не очень веб-приложений
• Понимание основных видов уязвимостей, атак и техник их проведения, методик тестирования;
• Умение читать чужой код;
• Английский язык на уровне чтения профессиональной технической литературы.
Будет плюсом:
• Наличие CVE
Контакты: @Hrpvl