AppSec
ЗП: 300 000 - 390 000 гросс
Локация: Удаленно/гибрид/офис (по Мск время)
Обязанности:
• Автоматизация различных задач AppSec и развитие инструментов безопасной разработки;
• Работа с анализаторами кода SAST/DAST/SCA и тд, разбор отчетов, разработка правил анализа;
• Ручной анализ кода;
• Взаимодействие с разработчиками в рамках процесса управления уязвимостями;
• Проведение консультаций по безопасной разработке;
• Анализ безопасности архитектуры ПО.
Требования:
• Имеете опыт работы с анализаторами кода и разработки правил для них;
• Понимаете архитектуру современных веб приложений на базе микросервисной архитектуры;
• Имеете широкий кругозор в безопасности и умеет формулировать требования;
• Обладаете навыками поиска уязвимостей с помощью ручного анализа кода и в режиме Blackbox;
• Уверенно владеете по крайней мере одним языком программирования (предпочтительно python/go).
Контакты: @sailorkatya
ЗП: 300 000 - 390 000 гросс
Локация: Удаленно/гибрид/офис (по Мск время)
Обязанности:
• Автоматизация различных задач AppSec и развитие инструментов безопасной разработки;
• Работа с анализаторами кода SAST/DAST/SCA и тд, разбор отчетов, разработка правил анализа;
• Ручной анализ кода;
• Взаимодействие с разработчиками в рамках процесса управления уязвимостями;
• Проведение консультаций по безопасной разработке;
• Анализ безопасности архитектуры ПО.
Требования:
• Имеете опыт работы с анализаторами кода и разработки правил для них;
• Понимаете архитектуру современных веб приложений на базе микросервисной архитектуры;
• Имеете широкий кругозор в безопасности и умеет формулировать требования;
• Обладаете навыками поиска уязвимостей с помощью ручного анализа кода и в режиме Blackbox;
• Уверенно владеете по крайней мере одним языком программирования (предпочтительно python/go).
Контакты: @sailorkatya
Offensive Application Security Engineer, Yclients
ЗП: 250 000 – 350 000 net
Локация: СПб/Мск (гибрид)
Обязанности:
* Проводить анализ защищённости веб и мобильных приложений
* Консультировать команды разработки и контролировать устранение выявленных уязвимостей
* Проводить архитектурное ревью и формировать требования безопасности веб-приложений
Требования:
* Опыт анализа защищённости веб и мобильных приложений
* Понимание техник эксплуатации уязвимостей и методов защиты приложений
* Понимание архитектур современных веб-приложений
* Знание лучших практик в разработке безопасных веб-приложений
* Владение Bash, Python, Go или любым другим средством скриптовой автоматизации
* Умение читать код и выявлять ошибки
Круто, если есть:
* Опыт работы в Application Security — от 1 года
* Наличие репортов о найденных уязвимостях в программах Bug Bounty или зарегистрированных CVE
* Наличие профильных сертификатов (OSCP, OSWE)
* Опыт участия в соревнованиях по информационной безопасности (CTF)
* Наличие активного профиля на обучающих площадках по информационной безопасности (например, HackTheBox)
* Понимание циклов SSDLC, DevSecOps
* Опыт выступления на профильных конференциях и написания профильных статей
Контакты: www.tg-me.com/safonov33
ЗП: 250 000 – 350 000 net
Локация: СПб/Мск (гибрид)
Обязанности:
* Проводить анализ защищённости веб и мобильных приложений
* Консультировать команды разработки и контролировать устранение выявленных уязвимостей
* Проводить архитектурное ревью и формировать требования безопасности веб-приложений
Требования:
* Опыт анализа защищённости веб и мобильных приложений
* Понимание техник эксплуатации уязвимостей и методов защиты приложений
* Понимание архитектур современных веб-приложений
* Знание лучших практик в разработке безопасных веб-приложений
* Владение Bash, Python, Go или любым другим средством скриптовой автоматизации
* Умение читать код и выявлять ошибки
Круто, если есть:
* Опыт работы в Application Security — от 1 года
* Наличие репортов о найденных уязвимостях в программах Bug Bounty или зарегистрированных CVE
* Наличие профильных сертификатов (OSCP, OSWE)
* Опыт участия в соревнованиях по информационной безопасности (CTF)
* Наличие активного профиля на обучающих площадках по информационной безопасности (например, HackTheBox)
* Понимание циклов SSDLC, DevSecOps
* Опыт выступления на профильных конференциях и написания профильных статей
Контакты: www.tg-me.com/safonov33
Application Security Specialist, HuntIT
Формат: удаленка
С чем предстоит работать:
• Анализ и тестирование безопасности приложений на предмет выявления уязвимостей;
• Разработка и внедрение мер безопасности при разработке и эксплуатации приложений;
• Проведение регулярных аудитов кода и архитектуры приложений на предмет соответствия стандартам безопасности;
• Разработка и внедрение планов по обеспечению безопасности приложений в сотрудничестве с командами разработки;
• Мониторинг новых угроз и уязвимостей, а также предложение мер по их предотвращению;
• Проведение обучающих мероприятий для разработчиков и персонала компании по вопросам безопасности приложений.
Здорово, если у тебя есть:
• Опыт работы в области безопасности приложений от 3 лет;
• Глубокие знания в области безопасности приложений, OWASP Top 10 и др;
• Опыт анализа безопасности кода и архитектуры приложений;
• Знание языков программирования (PHP, Python, Go, Java, Kotlin, C#) и технологий разработки и фреймворков на их основе;
• Опыт работы с инструментами тестирования безопасности приложений, такими как Burp Suite, OWASP ZAP и другими;
• Навыки анализа результатов сканирования уязвимостей и разработки рекомендаций по их устранению.
Дополнительные технические требования:
• Глубокое понимание архитектуры веб-приложений: Понимание клиент-серверных взаимодействий, обработки запросов, аутентификации, авторизации и управления сеансами;
• Знание методов и техник аутентификации и авторизации: OAuth, JWT, OpenID Connect и другие протоколы;
• Знание принципов разработки безопасного кода и аудита безопасности кода: Понимание обработки ввода, экранирования, SQL-инъекций, уязвимостей XSS, и CSRF;
• Опыт анализа мобильных приложений: Знание методов анализа безопасности Android и iOS приложений;
• Понимание принципов и технологий облачных вычислений: AWS, Azure, Google Cloud;
• Знание и понимание принципов криптографии: Асимметричные и симметричные алгоритмы, цифровые подписи, хэширование.
Популярные инструменты и технологии:
• Burp Suite;
• OWASP ZAP (Zed Attack Proxy);
• Veracode;
• Checkmarx;
• Python: Для автоматизации задач, разработки скриптов и создания собственных инструментов;
• Bash scripting;
• PHP, Go, java, Kotlin, C#: Знание этих языков может быть полезно для анализа и разработки безопасных приложений и компонентов.
Контакты:
@glafira_huntit
@kristina_HuntIT
@AlbinaHuntIT
Формат: удаленка
С чем предстоит работать:
• Анализ и тестирование безопасности приложений на предмет выявления уязвимостей;
• Разработка и внедрение мер безопасности при разработке и эксплуатации приложений;
• Проведение регулярных аудитов кода и архитектуры приложений на предмет соответствия стандартам безопасности;
• Разработка и внедрение планов по обеспечению безопасности приложений в сотрудничестве с командами разработки;
• Мониторинг новых угроз и уязвимостей, а также предложение мер по их предотвращению;
• Проведение обучающих мероприятий для разработчиков и персонала компании по вопросам безопасности приложений.
Здорово, если у тебя есть:
• Опыт работы в области безопасности приложений от 3 лет;
• Глубокие знания в области безопасности приложений, OWASP Top 10 и др;
• Опыт анализа безопасности кода и архитектуры приложений;
• Знание языков программирования (PHP, Python, Go, Java, Kotlin, C#) и технологий разработки и фреймворков на их основе;
• Опыт работы с инструментами тестирования безопасности приложений, такими как Burp Suite, OWASP ZAP и другими;
• Навыки анализа результатов сканирования уязвимостей и разработки рекомендаций по их устранению.
Дополнительные технические требования:
• Глубокое понимание архитектуры веб-приложений: Понимание клиент-серверных взаимодействий, обработки запросов, аутентификации, авторизации и управления сеансами;
• Знание методов и техник аутентификации и авторизации: OAuth, JWT, OpenID Connect и другие протоколы;
• Знание принципов разработки безопасного кода и аудита безопасности кода: Понимание обработки ввода, экранирования, SQL-инъекций, уязвимостей XSS, и CSRF;
• Опыт анализа мобильных приложений: Знание методов анализа безопасности Android и iOS приложений;
• Понимание принципов и технологий облачных вычислений: AWS, Azure, Google Cloud;
• Знание и понимание принципов криптографии: Асимметричные и симметричные алгоритмы, цифровые подписи, хэширование.
Популярные инструменты и технологии:
• Burp Suite;
• OWASP ZAP (Zed Attack Proxy);
• Veracode;
• Checkmarx;
• Python: Для автоматизации задач, разработки скриптов и создания собственных инструментов;
• Bash scripting;
• PHP, Go, java, Kotlin, C#: Знание этих языков может быть полезно для анализа и разработки безопасных приложений и компонентов.
Контакты:
@glafira_huntit
@kristina_HuntIT
@AlbinaHuntIT
AppSec Engineer, Киберпротект
ЗП: до 300к на руки (обсуждается после собеседования)
Уровень: Senior
Локация: РФ
Формат работы: удалёнка на территории РФ / гибрид / офис в Москве
Занятость: полная
Тебе предстоит отвечать за:
- поиск и исправление уязвимостей в коде;
- подготовку отчетов об уязвимостях и рекомендаций по их устранению;
- формирование чек-листов и инструкции по безопасному кодированию для разработчиков;
- консультирование разработчиков и контроль устранения выявленных уязвимостей;
- формирование требований безопасности и анализ безопасности архитектуры продуктов.
- выстраивание процесса Security champions в командах разработки и управление им.
Требования:
- умение анализировать исходный код на C++/Go и выявлять уязвимости;
- знание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF);
- опыт работы с инструментами SAST, DAST, SCA, ASOC;
- опыт работы пентестером и умение находить основные уязвимости из OWASP Top 10 & API;
- опыт выстраивания процесса Security champions в командах разработки.
Будет плюсом:
- знание valgrind, addrsanitizer, bullseye, svace, libfuzzer, statsviz, AFL++;
- имеешь опыт руководства командой инженеров Application Security.
Контакты: @Di_verbina
https://cyberprotect.ru/
ЗП: до 300к на руки (обсуждается после собеседования)
Уровень: Senior
Локация: РФ
Формат работы: удалёнка на территории РФ / гибрид / офис в Москве
Занятость: полная
Тебе предстоит отвечать за:
- поиск и исправление уязвимостей в коде;
- подготовку отчетов об уязвимостях и рекомендаций по их устранению;
- формирование чек-листов и инструкции по безопасному кодированию для разработчиков;
- консультирование разработчиков и контроль устранения выявленных уязвимостей;
- формирование требований безопасности и анализ безопасности архитектуры продуктов.
- выстраивание процесса Security champions в командах разработки и управление им.
Требования:
- умение анализировать исходный код на C++/Go и выявлять уязвимости;
- знание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF);
- опыт работы с инструментами SAST, DAST, SCA, ASOC;
- опыт работы пентестером и умение находить основные уязвимости из OWASP Top 10 & API;
- опыт выстраивания процесса Security champions в командах разработки.
Будет плюсом:
- знание valgrind, addrsanitizer, bullseye, svace, libfuzzer, statsviz, AFL++;
- имеешь опыт руководства командой инженеров Application Security.
Контакты: @Di_verbina
https://cyberprotect.ru/
Тимлид в команду безопасности Яндекс Браузера
Москва/Питер/Екатеринбург/Новосибирск/Казань
Мы ищем тимлида в команду, которая занимается безопасностью Браузера. Вы будете отвечать за ревью архитектурных решений, развитие процессов SDLC, безопасность кодовой базы приложения Браузера и соответствующих сервисов вокруг него, а также развивать команду и практики ИБ в рамках всей службы.
Какие задачи вас ждут
* Декомпозировать задачи и распределять их внутри команды
* Взаимодействовать с командами разработки и продукта: коммуницировать по статусу задач и участвовать в планировании больших изменений
* Проводить ревью архитектурных решений и кода компонентов Браузера, инфраструктуры и сервисов вокруг него
* Развивать процессы SDLC Браузера, проводить whitebox-аудиты, статический и динамический анализ, контроль уязвимых зависимостей, предлагать новые процессы и контроли
* Исследовать и предлагать компенсационные меры для защиты от эксплуатации уязвимостей и решения на их основе
* Поддерживать процессы ИБ
Мы ждём, что вы
* Разбираетесь в ИБ приложений и операционных систем
* Знакомы с основными принципами безопасности веб-приложений и браузеров
* Занимались аудитом исходного кода на C\+\+
* Умеете автоматизировать работу, используя Golang или Python
* Готовы погружаться в специфику смежных областей безопасности
* Умеете ставить задачи и следить за их выполнением
* Готовы брать на себя коммуникацию с заказчиками по стратегическим вопросам
Откликнуться
Для связи в тг @mivakina
Москва/Питер/Екатеринбург/Новосибирск/Казань
Мы ищем тимлида в команду, которая занимается безопасностью Браузера. Вы будете отвечать за ревью архитектурных решений, развитие процессов SDLC, безопасность кодовой базы приложения Браузера и соответствующих сервисов вокруг него, а также развивать команду и практики ИБ в рамках всей службы.
Какие задачи вас ждут
* Декомпозировать задачи и распределять их внутри команды
* Взаимодействовать с командами разработки и продукта: коммуницировать по статусу задач и участвовать в планировании больших изменений
* Проводить ревью архитектурных решений и кода компонентов Браузера, инфраструктуры и сервисов вокруг него
* Развивать процессы SDLC Браузера, проводить whitebox-аудиты, статический и динамический анализ, контроль уязвимых зависимостей, предлагать новые процессы и контроли
* Исследовать и предлагать компенсационные меры для защиты от эксплуатации уязвимостей и решения на их основе
* Поддерживать процессы ИБ
Мы ждём, что вы
* Разбираетесь в ИБ приложений и операционных систем
* Знакомы с основными принципами безопасности веб-приложений и браузеров
* Занимались аудитом исходного кода на C\+\+
* Умеете автоматизировать работу, используя Golang или Python
* Готовы погружаться в специфику смежных областей безопасности
* Умеете ставить задачи и следить за их выполнением
* Готовы брать на себя коммуникацию с заказчиками по стратегическим вопросам
Откликнуться
Для связи в тг @mivakina
Security Engineer, Medley
Compensation: 3100$ - 4000$ per month net
Work style: relocation to Japan, office
Japanese taxes include: Pension, Income tax, Health Insurance, Resident Tax (from the 2nd year of living in Japan)
Japan Tax Calculator: https://japantaxcalculator.com/
Background:
Medley is a socially conscious company dedicated to solving real societal needs through innovative projects. By focusing on customer value and continuous improvement, Medley tackles pressing social issues while also contributing to environmental sustainability. Through collaborations and CSR initiatives, Medley aims to create a positive impact on society while ensuring a sustainable future.
Responsibilities:
- Designing, implementing, and diagnosing security measures;
- Security assessment of existing products and code, written by other developers;
- Advising the developers team on how to optimize their code from the security standpoint;
- Maximizing the long-term value of services for customers, including patients, families, businesses, and workers;
- Diving deep into details to optimize team and company performance.
Desired Experience:
- Experience working as a Software Engineer - at least 5 years;
- Deep application security knowledge;
- Experience working with Ruby (RoR);
- Experience working with MongoDB, Aurora;
- Experience working with AWS Security solutions.
Good to have:
- Basic Japanese knowledge.
Perks and Benefits:
- Salary 3100$ - 4000$ per month net (¥600 000 - 800 000 per month gross);
- Bonus up to 6450$ (1 mln ¥) / year;
- Visa support;
- Relocation support (details are discussed during interview);
- Other benefits are discussed during the interview.
Contacts:
Telegram: @anatolital
Compensation: 3100$ - 4000$ per month net
Work style: relocation to Japan, office
Japanese taxes include: Pension, Income tax, Health Insurance, Resident Tax (from the 2nd year of living in Japan)
Japan Tax Calculator: https://japantaxcalculator.com/
Background:
Medley is a socially conscious company dedicated to solving real societal needs through innovative projects. By focusing on customer value and continuous improvement, Medley tackles pressing social issues while also contributing to environmental sustainability. Through collaborations and CSR initiatives, Medley aims to create a positive impact on society while ensuring a sustainable future.
Responsibilities:
- Designing, implementing, and diagnosing security measures;
- Security assessment of existing products and code, written by other developers;
- Advising the developers team on how to optimize their code from the security standpoint;
- Maximizing the long-term value of services for customers, including patients, families, businesses, and workers;
- Diving deep into details to optimize team and company performance.
Desired Experience:
- Experience working as a Software Engineer - at least 5 years;
- Deep application security knowledge;
- Experience working with Ruby (RoR);
- Experience working with MongoDB, Aurora;
- Experience working with AWS Security solutions.
Good to have:
- Basic Japanese knowledge.
Perks and Benefits:
- Salary 3100$ - 4000$ per month net (¥600 000 - 800 000 per month gross);
- Bonus up to 6450$ (1 mln ¥) / year;
- Visa support;
- Relocation support (details are discussed during interview);
- Other benefits are discussed during the interview.
Contacts:
Telegram: @anatolital
Senior Offensive Application Security Engineer, Equiti
Salary: Up to 5500€
Relocation to Cyprus, Armenia
Responsibilities:
* Conduct security analysis of web and mobile applications.
* Advise development teams and oversee the remediation of identified vulnerabilities.
* Conduct architectural reviews and formulate security requirements for web applications.
Requirements:
* Experience in analyzing the security of web and mobile applications.
* Understanding of vulnerability exploitation techniques and application defense methods.
* Knowledge of the architectures of modern web applications.
* Familiarity with best practices in secure web application development.
* Proficiency in Bash, Python, Go, or any other scripting automation tools.
* Ability to read code and identify errors.
Nice to have:
* At least one year of experience in Application Security.
* Proven track record with Bug Bounty program reports or registered CVEs.
* Relevant certifications (OSCP, OSWE).
* Experience in cybersecurity competitions (CTF).
* Active profile on cybersecurity training platforms (e.g., HackTheBox).
* Understanding of SSDLC, DevSecOps cycles.
* Experience presenting at industry conferences and writing technical articles.
Contact: @dvyakimov
Salary: Up to 5500€
Relocation to Cyprus, Armenia
Responsibilities:
* Conduct security analysis of web and mobile applications.
* Advise development teams and oversee the remediation of identified vulnerabilities.
* Conduct architectural reviews and formulate security requirements for web applications.
Requirements:
* Experience in analyzing the security of web and mobile applications.
* Understanding of vulnerability exploitation techniques and application defense methods.
* Knowledge of the architectures of modern web applications.
* Familiarity with best practices in secure web application development.
* Proficiency in Bash, Python, Go, or any other scripting automation tools.
* Ability to read code and identify errors.
Nice to have:
* At least one year of experience in Application Security.
* Proven track record with Bug Bounty program reports or registered CVEs.
* Relevant certifications (OSCP, OSWE).
* Experience in cybersecurity competitions (CTF).
* Active profile on cybersecurity training platforms (e.g., HackTheBox).
* Understanding of SSDLC, DevSecOps cycles.
* Experience presenting at industry conferences and writing technical articles.
Contact: @dvyakimov
AppSec-специалист по экспертному анализу исходного кода, SecWare
ЗП: 150К - 350К (размер обсуждается по итогам собеседования)
Локация: РФ
Задачи:
• Аудит исходного кода на предмет реализации бизнес-требований и функций безопасности;
• Исследование вопросов безопасности различных технологий;
• Консультация команд разработки и эксплуатации с целью повышению уровня безопасности программных решений и процессов.
Ожидаем от кандидата:
• Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.);
• Знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• Знание языков программирования: Python, Java, Kotlin, PHP, JavaScript, GoLang, C/C++;
• Знание best-practises по написанию исходного кода;
• Понимание основных проблем безопасности в high и low level программных решений.
Будет плюсом
• Практический опыт проведения анализа защищенности программных решений (black/gray/white box);
• Опыт разработки программных решений с применением паттернов безопасности;
• Выступление на профильных конференциях по информационной безопасности;
• Наличие подтверждающих сертификатов в области анализа защищенности и информационной безопасности.
Контакты:
@Alena_HR_SecWare
[email protected]
ЗП: 150К - 350К (размер обсуждается по итогам собеседования)
Локация: РФ
Задачи:
• Аудит исходного кода на предмет реализации бизнес-требований и функций безопасности;
• Исследование вопросов безопасности различных технологий;
• Консультация команд разработки и эксплуатации с целью повышению уровня безопасности программных решений и процессов.
Ожидаем от кандидата:
• Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.);
• Знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• Знание языков программирования: Python, Java, Kotlin, PHP, JavaScript, GoLang, C/C++;
• Знание best-practises по написанию исходного кода;
• Понимание основных проблем безопасности в high и low level программных решений.
Будет плюсом
• Практический опыт проведения анализа защищенности программных решений (black/gray/white box);
• Опыт разработки программных решений с применением паттернов безопасности;
• Выступление на профильных конференциях по информационной безопасности;
• Наличие подтверждающих сертификатов в области анализа защищенности и информационной безопасности.
Контакты:
@Alena_HR_SecWare
[email protected]
Senior Application Security Specialist, xStack
ЗП: 3 000 - 4 300 $ (валюта зависит от страны нахождения кандидата)
Занятость: полная
Локации: Грузия, Армения, Казахстан, Сербия
Формат работы: гибрид/удалённо
Обязанности:
• Поиск (ручной и автоматизированный) и эксплуатация уязвимостей;
• Предоставление PoC;
• Создание и поддержание политик WAF в актуальном состоянии;
• Анализ трафика, выявление аномалий, формирование паттернов и создание правил;
• Участие в разборе инцидентов ИБ;
• Формирование предложений по совершенствованию работы WAF;
• Консультирование и помощь в процессе закрытия уязвимостей;
• Участие в процессе обучения работников.
Требования:
• Практический опыт проведения ручного и автоматизированного анализа защищённости веб-приложений, подготовка PoC
• Опыт использования различных систем класса WAF (настройка политик и правил, анализ и реагирование на инциденты ИБ);
• Опыт работы с различными сканерами уязвимостей;
• Понимание принципов работы современных и не очень веб-приложений
• Понимание основных видов уязвимостей, атак и техник их проведения, методик тестирования;
• Умение читать чужой код;
• Английский язык на уровне чтения профессиональной технической литературы.
Будет плюсом:
• Наличие CVE
Контакты: @Hrpvl
ЗП: 3 000 - 4 300 $ (валюта зависит от страны нахождения кандидата)
Занятость: полная
Локации: Грузия, Армения, Казахстан, Сербия
Формат работы: гибрид/удалённо
Обязанности:
• Поиск (ручной и автоматизированный) и эксплуатация уязвимостей;
• Предоставление PoC;
• Создание и поддержание политик WAF в актуальном состоянии;
• Анализ трафика, выявление аномалий, формирование паттернов и создание правил;
• Участие в разборе инцидентов ИБ;
• Формирование предложений по совершенствованию работы WAF;
• Консультирование и помощь в процессе закрытия уязвимостей;
• Участие в процессе обучения работников.
Требования:
• Практический опыт проведения ручного и автоматизированного анализа защищённости веб-приложений, подготовка PoC
• Опыт использования различных систем класса WAF (настройка политик и правил, анализ и реагирование на инциденты ИБ);
• Опыт работы с различными сканерами уязвимостей;
• Понимание принципов работы современных и не очень веб-приложений
• Понимание основных видов уязвимостей, атак и техник их проведения, методик тестирования;
• Умение читать чужой код;
• Английский язык на уровне чтения профессиональной технической литературы.
Будет плюсом:
• Наличие CVE
Контакты: @Hrpvl
DevSecOps, ПИК
ЗП: до 360 000 gross + годовой бонус
Локация: Москва, офис Баррикадная 19с1
Чем предстоит заниматься:
- Выстроить процессы безопасной разработки, а также общие принципы контроля безопасности ПО
- Определить инструменты, средства и точки контроля безопасной разработки
- Автоматизировать процессы (внедрение и сопровождение инструментов) безопасной разработки
- Взаимодействовать с продуктовыми командами для выстраивания процессов безопасной разработки
- Участвовать в анализе результатов проверок: верификация багов, определение критичности, меры по снижению рисков, обучение команд практикам безопасного написания кода
Что мы ожидаем:
- Опыт участия в формировании процессов безопасной разработки
- Опыт работы с системами статического и динамического анализа (SAST, DAST)
- Опыт в организации работ по настройке и внедрению средств защиты информации в инфраструктуре непрерывной̆ разработки в соответствии с концепциями SDLC и DevSecOps
- Умение выявлять архитектурные недочеты и риски в планируемой и реализованной инфраструктуре
- Умение формировать и контролировать требования ИБ к продуктам и информационным системам
Будет плюсом:
- Опыт работы со средствами DevOps процесса (GitLab, Nexus, Kubernetes, Jenkins, Jira или аналогичными)
- Умение проводить анализ прикладных архитектур на предмет информационной безопасности;
- Создание метрик и дашбордов DevSecOps
- Опыт разработки ПО
Контакты: @katya_cv
ЗП: до 360 000 gross + годовой бонус
Локация: Москва, офис Баррикадная 19с1
Чем предстоит заниматься:
- Выстроить процессы безопасной разработки, а также общие принципы контроля безопасности ПО
- Определить инструменты, средства и точки контроля безопасной разработки
- Автоматизировать процессы (внедрение и сопровождение инструментов) безопасной разработки
- Взаимодействовать с продуктовыми командами для выстраивания процессов безопасной разработки
- Участвовать в анализе результатов проверок: верификация багов, определение критичности, меры по снижению рисков, обучение команд практикам безопасного написания кода
Что мы ожидаем:
- Опыт участия в формировании процессов безопасной разработки
- Опыт работы с системами статического и динамического анализа (SAST, DAST)
- Опыт в организации работ по настройке и внедрению средств защиты информации в инфраструктуре непрерывной̆ разработки в соответствии с концепциями SDLC и DevSecOps
- Умение выявлять архитектурные недочеты и риски в планируемой и реализованной инфраструктуре
- Умение формировать и контролировать требования ИБ к продуктам и информационным системам
Будет плюсом:
- Опыт работы со средствами DevOps процесса (GitLab, Nexus, Kubernetes, Jenkins, Jira или аналогичными)
- Умение проводить анализ прикладных архитектур на предмет информационной безопасности;
- Создание метрик и дашбордов DevSecOps
- Опыт разработки ПО
Контакты: @katya_cv
Senior Application Security Engineer, Equiti Group
Salary: Up to 5500€
Locations: Relocation to Limassol (Cyprus) or Yerevan (Armenia)
Responsibilities:
- Conduct application security design reviews and perform security testing for new products and services. This includes:
- Providing security requirements.
- Conducting threat modeling.
- Undertaking application security assessments.
- Perform code reviews and drive the remediation of identified issues in various languages and frameworks (.NET, PHP, JS, Terraform).
- Effectively track, prioritize, and manage application security issues until resolved.
- Continually enhance application security processes.
- Create and maintain a repository of internal templates and checklists to serve as references for security requirements and best practices.
- Develop a DevSecOps program focused on addressing security issues at scale. This involves incorporating tools for Static Application Security Testing (SAST), Software Composition Analysis (SCA), and others.
- Facilitate automated security testing on a large scale to evaluate vulnerabilities and report on risks across all microservice, web, and mobile platforms.
Who We Are Looking For:
- A candidate with a minimum of 2 years of practical experience in Application Security.
- Strong hands-on experience in application security testing.
- In-depth knowledge of key web technologies and protocols (TLS, and HTTP, Web Socket, DNS, OAuth2, OIDC, etc.) and associated threats.
Contacts: @dvyakimov
Salary: Up to 5500€
Locations: Relocation to Limassol (Cyprus) or Yerevan (Armenia)
Responsibilities:
- Conduct application security design reviews and perform security testing for new products and services. This includes:
- Providing security requirements.
- Conducting threat modeling.
- Undertaking application security assessments.
- Perform code reviews and drive the remediation of identified issues in various languages and frameworks (.NET, PHP, JS, Terraform).
- Effectively track, prioritize, and manage application security issues until resolved.
- Continually enhance application security processes.
- Create and maintain a repository of internal templates and checklists to serve as references for security requirements and best practices.
- Develop a DevSecOps program focused on addressing security issues at scale. This involves incorporating tools for Static Application Security Testing (SAST), Software Composition Analysis (SCA), and others.
- Facilitate automated security testing on a large scale to evaluate vulnerabilities and report on risks across all microservice, web, and mobile platforms.
Who We Are Looking For:
- A candidate with a minimum of 2 years of practical experience in Application Security.
- Strong hands-on experience in application security testing.
- In-depth knowledge of key web technologies and protocols (TLS, and HTTP, Web Socket, DNS, OAuth2, OIDC, etc.) and associated threats.
Contacts: @dvyakimov
Оплачиваемая стажировка Intern Web3 Security Researcher в Decurity
ЗП: $500-2,000 USD / month в зависимости от текущего уровня
Что за Decurity?
— Команда этичных хакеров и аудиторов безопасности,
— Компания глобальная с распределённой командой, HQ в Дубае,
— В портфолио Compound, 1inch, Yearn, Gearbox, ether.fi, Socket.Tech, Azuro, Symbiosis и т. д.
— Чемпионы среди аудиторов смарт-контрактов: 2-е место на OpenZeppelin CTF 2024 и на Paradigm CTF 2022,
— Разработчики продукта DeFiMon и разных инструментов.
Что за стажировка?
— Частичная или полная занятость,
— Длительность: 3 месяца,
— Старт: 20 мая 2024,
— Результат: переход в позицию Web3 Security Researcher.
Какими задачами предстоит заниматься?
— Security Review
• Участие в аудитах безопасности различных проектов
• Shadow-аудиты смарт-контрактов, пентесты
• Оценка рисков DeFi-протоколов
— Security Research
• Изучение прошлых хаков и отчётов по аудитам, написание методик аудита
• Изучение и доработка инструментов фаззинга, статического анализа
• Поиск уязвимостей в проектах, написание статей
• Участие в CTF-соревнованиях
— Product Research
• Дежурство в Web3 SOC для анализа алертов о подозрительных транзакциях
• Изучение и доработка алгоритмов выявления хаков
Кого ждём?
— Web2-хакеров с хорошим бекграундом в практической кибербезопасности (appsec, low-level, pentest),
— Web3-хакеров и разработчиков.
Что нужно?
— Прислать резюме или информацию о себе сюда: https://www.tg-me.com/gufec
— Пройти анкету и отбор
ЗП: $500-2,000 USD / month в зависимости от текущего уровня
Что за Decurity?
— Команда этичных хакеров и аудиторов безопасности,
— Компания глобальная с распределённой командой, HQ в Дубае,
— В портфолио Compound, 1inch, Yearn, Gearbox, ether.fi, Socket.Tech, Azuro, Symbiosis и т. д.
— Чемпионы среди аудиторов смарт-контрактов: 2-е место на OpenZeppelin CTF 2024 и на Paradigm CTF 2022,
— Разработчики продукта DeFiMon и разных инструментов.
Что за стажировка?
— Частичная или полная занятость,
— Длительность: 3 месяца,
— Старт: 20 мая 2024,
— Результат: переход в позицию Web3 Security Researcher.
Какими задачами предстоит заниматься?
— Security Review
• Участие в аудитах безопасности различных проектов
• Shadow-аудиты смарт-контрактов, пентесты
• Оценка рисков DeFi-протоколов
— Security Research
• Изучение прошлых хаков и отчётов по аудитам, написание методик аудита
• Изучение и доработка инструментов фаззинга, статического анализа
• Поиск уязвимостей в проектах, написание статей
• Участие в CTF-соревнованиях
— Product Research
• Дежурство в Web3 SOC для анализа алертов о подозрительных транзакциях
• Изучение и доработка алгоритмов выявления хаков
Кого ждём?
— Web2-хакеров с хорошим бекграундом в практической кибербезопасности (appsec, low-level, pentest),
— Web3-хакеров и разработчиков.
Что нужно?
— Прислать резюме или информацию о себе сюда: https://www.tg-me.com/gufec
— Пройти анкету и отбор
Application Security Expert (Offensive), Тинькофф
ЗП: 300-400 тысяч рублей на руки (можно обсудить индивидуально на собеседовании)
Уровень: Senior
Локация: РФ, Беларусь, Армения, Казахстан
Формат работы: гибрид
Занятость: полная
Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Исследовательская деятельность в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Выстраивание процесса безопасной разработки ПО (Security SDLC)
Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом
Контакты: Telegram: https://www.tg-me.com/k_primerova
ЗП: 300-400 тысяч рублей на руки (можно обсудить индивидуально на собеседовании)
Уровень: Senior
Локация: РФ, Беларусь, Армения, Казахстан
Формат работы: гибрид
Занятость: полная
Обязанности:
• Проведение аудитов безопасности приложений и сервисов
• Взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей
• Автоматизация процессов безопасности
• Исследовательская деятельность в области информационной безопасности (Security Research)
• Развитие Bug-Bounty программы
• Выстраивание процесса безопасной разработки ПО (Security SDLC)
Требования:
• Практический опыт анализа приложений
• Опыт работы с инструментами анализа безопасности приложений (Burp/Semgrep)
• Умение читать код на различных языках (Java/JS/Python)
• Умение анализировать исходный код на предмет наличия уязвимостей
• Практическое понимание всех распространенных техник эксплуатации
• Не только понимаете, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, но можете рассказать, как их устранить и не допускать в будущем
• Понимание принципов работы современных веб-приложений, микросервисной архитектуры
• Участие в bug-bounty будет большим плюсом
Контакты: Telegram: https://www.tg-me.com/k_primerova
DevSecOps, express.ms
ЗП: до 400.000 ₽ на руки
Уровень: Middle/Senior
Локация: РФ
Формат работы: удаленка/гибрид по желанию
Чем предстоит заниматься :
- Внедрять и автоматизировать процессы DevSecOps (SAST, DAST, SCA);
- Улучшать безопасность CI/CD (Gitlab);
- Выявлять и устранять уязвимости;
- Управлять уязвимостями контейнеров;
- Внедрять культуру безопасной разработки вместе с Security Champions.
Для этого потребуется:
- Опыт успешного внедрения SAST, SCA, DAST инструментов;
- Навыки DevOps, эксплуатации и поддержки готовых CI/CD окружений (Gitlab), опыт работы с Terraform/Ansible;
- Понимание принципов работы Docker, Kubernetes, диагностики и поиска проблем.
Контакты: @abralexol
Ссылка на вакансию: hh.ru/vacancy/97348120
ЗП: до 400.000 ₽ на руки
Уровень: Middle/Senior
Локация: РФ
Формат работы: удаленка/гибрид по желанию
Чем предстоит заниматься :
- Внедрять и автоматизировать процессы DevSecOps (SAST, DAST, SCA);
- Улучшать безопасность CI/CD (Gitlab);
- Выявлять и устранять уязвимости;
- Управлять уязвимостями контейнеров;
- Внедрять культуру безопасной разработки вместе с Security Champions.
Для этого потребуется:
- Опыт успешного внедрения SAST, SCA, DAST инструментов;
- Навыки DevOps, эксплуатации и поддержки готовых CI/CD окружений (Gitlab), опыт работы с Terraform/Ansible;
- Понимание принципов работы Docker, Kubernetes, диагностики и поиска проблем.
Контакты: @abralexol
Ссылка на вакансию: hh.ru/vacancy/97348120
DevSecOps инженер на инновационный проект в сфере криптовалют и блокчейн технологий
ЗП: от 4000$ до 9000$
Локация: Гибрид в Сербии / Удаленный формат
Полная занятость
Задачи:
- Автоматизировать и поддерживать процессы разработки, тестирования и производства с основным вниманием к безопасности.
- Участвовать в деятельности разработки окружения, обеспечивая безопасность всех компонентов инфраструктуры.
- Сотрудничать с разработчиками для помощи в проектировании и создании безопасных инфраструктурных объектов.
- Поддерживать, администрировать и развивать облачную инфраструктуру, внедряя лучшие практики безопасности.
- Определить и установить процессы разработки, тестирования, выпуска, обновления и поддержки с основным вниманием к безопасности.
Необходимые навыки:
- Владение системами развертывания и управления, такими как Kubernetes и Docker.
- Опыт написания скриптов автоматизации для оптимизации процессов и улучшения безопасности.
- Опыт работы с операционными системами Unix.
- Опыт в практиках безопасности в криптографии и блокчейне.
- Опыт администрирования открытых технологий, включая веб-серверы и базы данных, с акцентом на безопасности.
- Практические знания в архитектуре, разработке и внедрении решений CI/CD с учетом безопасности.
- Отличное понимание GitLab (включая DSL-пайплайны), Ansible, Terraform, Sonar, Selenium, Zabbix и Jira.
Контакты: @gulyavaleeva
ЗП: от 4000$ до 9000$
Локация: Гибрид в Сербии / Удаленный формат
Полная занятость
Задачи:
- Автоматизировать и поддерживать процессы разработки, тестирования и производства с основным вниманием к безопасности.
- Участвовать в деятельности разработки окружения, обеспечивая безопасность всех компонентов инфраструктуры.
- Сотрудничать с разработчиками для помощи в проектировании и создании безопасных инфраструктурных объектов.
- Поддерживать, администрировать и развивать облачную инфраструктуру, внедряя лучшие практики безопасности.
- Определить и установить процессы разработки, тестирования, выпуска, обновления и поддержки с основным вниманием к безопасности.
Необходимые навыки:
- Владение системами развертывания и управления, такими как Kubernetes и Docker.
- Опыт написания скриптов автоматизации для оптимизации процессов и улучшения безопасности.
- Опыт работы с операционными системами Unix.
- Опыт в практиках безопасности в криптографии и блокчейне.
- Опыт администрирования открытых технологий, включая веб-серверы и базы данных, с акцентом на безопасности.
- Практические знания в архитектуре, разработке и внедрении решений CI/CD с учетом безопасности.
- Отличное понимание GitLab (включая DSL-пайплайны), Ansible, Terraform, Sonar, Selenium, Zabbix и Jira.
Контакты: @gulyavaleeva
Преподаватель DevSecOps
ЗП: от 3000 до 7000 рублей в час
Формат: удаленный
Локация и гражданство: РФ
Возможно совместительство.
Мы запускаем новый курс по DevSecOps для действующих DevOps инженеров и разработчиков.
Курс продлится 4,5 месяца.
Занятия проводятся онлайн 2 раза в неделю по 2 часа (120 минут).
Что нужно делать:
- готовить материалы к занятиям;
- вести лекции с ответами на вопросы студентов;
- задавать домашние задания (проверку ДЗ и консультации ведет отдельный наставник);
Требования:
- уровень Middle/Senior;
- опыт в DevSecOps от 2-х лет;
- опыт DevOps от 3-х лет;
- опыт работы с SCA, SAST, DAST;
- знание BSIMM, OWASP Top 10, OWASP SAMM;
- опыт работы со средствами DevOps (Kubernetes, Docker, Git);
- разработка на Java, Python, Ruby, Go.
Контакты:
Ника @Untrusted_lynxlynx
ЗП: от 3000 до 7000 рублей в час
Формат: удаленный
Локация и гражданство: РФ
Возможно совместительство.
Мы запускаем новый курс по DevSecOps для действующих DevOps инженеров и разработчиков.
Курс продлится 4,5 месяца.
Занятия проводятся онлайн 2 раза в неделю по 2 часа (120 минут).
Что нужно делать:
- готовить материалы к занятиям;
- вести лекции с ответами на вопросы студентов;
- задавать домашние задания (проверку ДЗ и консультации ведет отдельный наставник);
Требования:
- уровень Middle/Senior;
- опыт в DevSecOps от 2-х лет;
- опыт DevOps от 3-х лет;
- опыт работы с SCA, SAST, DAST;
- знание BSIMM, OWASP Top 10, OWASP SAMM;
- опыт работы со средствами DevOps (Kubernetes, Docker, Git);
- разработка на Java, Python, Ruby, Go.
Контакты:
Ника @Untrusted_lynxlynx
В проекте ЕДИНЫЙ ЦУПИС (ООО НКО «Мобильная карта») открыта позиция 🟢 AppSec-инженера в связи с расширением.
Мы развиваем и поддерживаем собственный HL-проект (обрабатываем миллионы платежей в день), а также сопутствующие сервисы. Как финтех, мы одни из самых крупных в РФ, занимаем первое место по рентабельности среди всех банков и платежных систем.
У нас много интересных задач и сильный коллектив с высокой экспертизой. Мы не боимся ставить амбициозные цели и достигать их!
Локация: офис в Санкт-Петербурге/Москве, возможны гибридный и удаленный формат работы (готовы рассмотреть коллег из других городов);
График работы: 5/2, полная занятость;
Уровень дохода обсуждаем индивидуально, так как готовы рассмотреть коллег разных уровней
Ваши задачи:
• ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки, разработка PoC-эксплоитов;
• триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• формирование предложения по митигационным мерам и их оценке, искать наиболее эффективные контрмеры;
• внедрение AppSec-практик в команды разработки.
Наши ожидания:
• чтение кода и понимание наиболее популярных фреймворков Java, JS, Python;
• опыт работы в направлении web security и mobile security;
• уверенные знания приемов митигации распространенных уязвимостей и безопасного написания кода;
• применение различных AppSec-подходов;
• знание особенностей работы инструментов по анализу защищенности;
• уверенные знания векторов атак (на разных уровнях) на современные приложения (web, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты.
Будет плюсом:
• проведение собственных исследований, участие в BugBounty программах;
• понимание работы непрерывного конвейера разработки.
Предлагаем достойно оплачиваемую работу, корпоративное обучение английскому языку, участие в профильных конференциях и мероприятиях, ДМС, корпоративные спортивные программы и многое другое, а также новые перспективы развития и простор для профессионального роста.
Ссылка на hh: https://spb.hh.ru/vacancy/94948470
Буду рада организовать наше знакомство, где мы более подробно сможем рассказать вам о вакансии.
Контакты: @helena_hey
Мы развиваем и поддерживаем собственный HL-проект (обрабатываем миллионы платежей в день), а также сопутствующие сервисы. Как финтех, мы одни из самых крупных в РФ, занимаем первое место по рентабельности среди всех банков и платежных систем.
У нас много интересных задач и сильный коллектив с высокой экспертизой. Мы не боимся ставить амбициозные цели и достигать их!
Локация: офис в Санкт-Петербурге/Москве, возможны гибридный и удаленный формат работы (готовы рассмотреть коллег из других городов);
График работы: 5/2, полная занятость;
Уровень дохода обсуждаем индивидуально, так как готовы рассмотреть коллег разных уровней
Ваши задачи:
• ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки, разработка PoC-эксплоитов;
• триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• формирование предложения по митигационным мерам и их оценке, искать наиболее эффективные контрмеры;
• внедрение AppSec-практик в команды разработки.
Наши ожидания:
• чтение кода и понимание наиболее популярных фреймворков Java, JS, Python;
• опыт работы в направлении web security и mobile security;
• уверенные знания приемов митигации распространенных уязвимостей и безопасного написания кода;
• применение различных AppSec-подходов;
• знание особенностей работы инструментов по анализу защищенности;
• уверенные знания векторов атак (на разных уровнях) на современные приложения (web, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты.
Будет плюсом:
• проведение собственных исследований, участие в BugBounty программах;
• понимание работы непрерывного конвейера разработки.
Предлагаем достойно оплачиваемую работу, корпоративное обучение английскому языку, участие в профильных конференциях и мероприятиях, ДМС, корпоративные спортивные программы и многое другое, а также новые перспективы развития и простор для профессионального роста.
Ссылка на hh: https://spb.hh.ru/vacancy/94948470
Буду рада организовать наше знакомство, где мы более подробно сможем рассказать вам о вакансии.
Контакты: @helena_hey
DevSecOps, Scalable Solutions
ЗП: 3000-4500$ gross
Формат: Тбилиси. Офис, Удаленка, полная занятость
Задачи:
• Автоматизация поиска и устранения уязвимостей в инфраструктуре и продукте
• Предлагать возможные способы эксплуатации и рекомендации по их устранению
• Изучать новые инструменты на рынке безопасности и внедрять их для устранения угроз
Требования:
• Уверенное знание Linux и Docker
• Понимание проблематики безопасности большой инфраструктуры. Знание современных техник атакующих, векторов атак проникновения в инфраструктуру и знание типовых решений
• Знание векторов атак и способов защиты WEB приложений (OWASP TOP-10), понимание современных WEB технологий
• Хорошее знание сетевых технологий и протоколов в рамках Linux (TCP/IP, HTTP, TLS, HTTP Proxying, iptables/nftables)
• Умение автоматизировать свою деятельность с помощью Bash/Python/Go/Ansible/Terraform
• Понимание и умение применять подходы Infrastructure as Code
Будет плюсом:
• Опыт проведения пентестов
• Опыт реализации контролей безопасности с использованием подхода Zero Trust
• Опыт работы с Service Mesh решениями
• Опыт работы с системами типа WAF/IDS/IPS
• Опыт встраивания инструментов статического и динамического анализа приложений на уязвимости в процессы разработки
• Опыт разработки веб-приложений или опыт работы в роли AppSec
• Знание Prometheus, Grafana Loki
Контакты: @marinaalexandrovnaa
https://scalablesolutions.io/careers/security-engineer/
https://m.youtube.com/watch?v=gnV2tUcfn4A
ЗП: 3000-4500$ gross
Формат: Тбилиси. Офис, Удаленка, полная занятость
Задачи:
• Автоматизация поиска и устранения уязвимостей в инфраструктуре и продукте
• Предлагать возможные способы эксплуатации и рекомендации по их устранению
• Изучать новые инструменты на рынке безопасности и внедрять их для устранения угроз
Требования:
• Уверенное знание Linux и Docker
• Понимание проблематики безопасности большой инфраструктуры. Знание современных техник атакующих, векторов атак проникновения в инфраструктуру и знание типовых решений
• Знание векторов атак и способов защиты WEB приложений (OWASP TOP-10), понимание современных WEB технологий
• Хорошее знание сетевых технологий и протоколов в рамках Linux (TCP/IP, HTTP, TLS, HTTP Proxying, iptables/nftables)
• Умение автоматизировать свою деятельность с помощью Bash/Python/Go/Ansible/Terraform
• Понимание и умение применять подходы Infrastructure as Code
Будет плюсом:
• Опыт проведения пентестов
• Опыт реализации контролей безопасности с использованием подхода Zero Trust
• Опыт работы с Service Mesh решениями
• Опыт работы с системами типа WAF/IDS/IPS
• Опыт встраивания инструментов статического и динамического анализа приложений на уязвимости в процессы разработки
• Опыт разработки веб-приложений или опыт работы в роли AppSec
• Знание Prometheus, Grafana Loki
Контакты: @marinaalexandrovnaa
https://scalablesolutions.io/careers/security-engineer/
https://m.youtube.com/watch?v=gnV2tUcfn4A
DevSecOps Specialist, Sweed
Salary: Up to $5000 gross (B2B contract).
Location: Full remote; it’s essential to relocate from Russia/Belarus at least after the trial period.
What to do in the project?
- Conducting regular security audits of applications and services;
- Manual and automated vulnerability detection in developing mobile and web applications, participating in their analysis together with development teams with the provision of PoC (Proof of Concept);
- Automating the processes of eliminating identified vulnerabilities;
- Optimizing the secure development process;
- Implementing AppSec practices in development teams and conducting regular training sessions.
What professional skills are important to us?
- Over 2 years of experience in DevSecOps or AppSec positions;
- Advanced knowledge and hands-on experience with SCA, SAST, DAST, IAST, OAST, and RASP tools such as Trivy, Grype, OWASP ZAP, Snyk, and Imperva;
- Proven experience in implementing BSIMM and OWASP SAMM;
- Expertise in mitigating threats from the OWASP Top 10, OWASP Mobile Top 10, and CWE Top 25;
- Proficient in DevOps tools including Kubernetes, Docker, GitLab, Deckhouse, AWS, and Terraform;
- Experience in developing internal tools and integrations, with the ability to understand and read codebases in technologies such as C#, Transact-SQL, JS, Node.js, and Python;
- Familiarity with Atlassian products, including automation creation;
- Fluent in Russian, with English proficiency at least at the B1 level.
Contact:
Telegram: https://www.tg-me.com/kris_recruiter
email: [email protected]
Salary: Up to $5000 gross (B2B contract).
Location: Full remote; it’s essential to relocate from Russia/Belarus at least after the trial period.
What to do in the project?
- Conducting regular security audits of applications and services;
- Manual and automated vulnerability detection in developing mobile and web applications, participating in their analysis together with development teams with the provision of PoC (Proof of Concept);
- Automating the processes of eliminating identified vulnerabilities;
- Optimizing the secure development process;
- Implementing AppSec practices in development teams and conducting regular training sessions.
What professional skills are important to us?
- Over 2 years of experience in DevSecOps or AppSec positions;
- Advanced knowledge and hands-on experience with SCA, SAST, DAST, IAST, OAST, and RASP tools such as Trivy, Grype, OWASP ZAP, Snyk, and Imperva;
- Proven experience in implementing BSIMM and OWASP SAMM;
- Expertise in mitigating threats from the OWASP Top 10, OWASP Mobile Top 10, and CWE Top 25;
- Proficient in DevOps tools including Kubernetes, Docker, GitLab, Deckhouse, AWS, and Terraform;
- Experience in developing internal tools and integrations, with the ability to understand and read codebases in technologies such as C#, Transact-SQL, JS, Node.js, and Python;
- Familiarity with Atlassian products, including automation creation;
- Fluent in Russian, with English proficiency at least at the B1 level.
Contact:
Telegram: https://www.tg-me.com/kris_recruiter
email: [email protected]
AppSec Manager, СберМаркет
ЗП: 300-400к на руки (обсуждается на собеседовании)
Формат: удаленка
Задачи:
- участвовать в аудитах безопасности микросервисов/веб-приложений;
- заниматься приоритизацией бэклога уязвимостей;
- внедрять практики education&guidance - писать обучающие статьи, заполнять security wiki с практиками и рекомендациями по безопасной разработке, проводить обучающие занятия/CTF;
- вести проекты по выстраиванию взаимодействия продуктовых команд с AppSec;
- участвовать в развитии практик по направлению SSDLC: принимать участие во встречах с разработчиками, улучшать методику оценки зрелости SSDLC в командах разработки, развивать практики безопасной разработки;
- участвовать в devrel активностях - помогать в организации ивентов, выступать на профильных конференциях.
Требования:
- навыки моделирования угроз, поиска уязвимостей и выбора мер защиты;
- знание методологий и практик SSDLC;
- понимание принципов работы с инструментами SAST, SCA, DAST, Secret Management;
- понимание принципов выявления уязвимостей из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, способность рассказать как их устранить и не допускать в будущем.
- понимание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF);
- навык находить общий язык с командами разработки, AppSec, ИБ и продуктовыми командами;
- опыт организации пентестов внешними исполнителями.
Контакты: @shmalkina
ЗП: 300-400к на руки (обсуждается на собеседовании)
Формат: удаленка
Задачи:
- участвовать в аудитах безопасности микросервисов/веб-приложений;
- заниматься приоритизацией бэклога уязвимостей;
- внедрять практики education&guidance - писать обучающие статьи, заполнять security wiki с практиками и рекомендациями по безопасной разработке, проводить обучающие занятия/CTF;
- вести проекты по выстраиванию взаимодействия продуктовых команд с AppSec;
- участвовать в развитии практик по направлению SSDLC: принимать участие во встречах с разработчиками, улучшать методику оценки зрелости SSDLC в командах разработки, развивать практики безопасной разработки;
- участвовать в devrel активностях - помогать в организации ивентов, выступать на профильных конференциях.
Требования:
- навыки моделирования угроз, поиска уязвимостей и выбора мер защиты;
- знание методологий и практик SSDLC;
- понимание принципов работы с инструментами SAST, SCA, DAST, Secret Management;
- понимание принципов выявления уязвимостей из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25, способность рассказать как их устранить и не допускать в будущем.
- понимание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF);
- навык находить общий язык с командами разработки, AppSec, ИБ и продуктовыми командами;
- опыт организации пентестов внешними исполнителями.
Контакты: @shmalkina