Инженер Информационной безопасности (AppSec)

IT Холдинг Kazdream

  • Нур-Султан
  • Постоянная работа
  • Полная занятость
  • 1 д. назад
Чем предстоит заниматься:
  • Обеспечение безопасности приложений и сервисов на всех этапах жизненного цикла разработки.
  • Реализация процессов Application Security: анализ SAST, DAST, SCA, контейнерных и dependency-сканов.
  • Интеграция проверок безопасности в CI/CD пайплайны.
  • Формирование и поддержка SBOM, анализ зависимостей и связанных уязвимостей.
  • Проверка сторонних библиотек, зависимостей и Docker-образов на предмет рисков.
  • Проведение threat modeling и участие в проектировании безопасной архитектуры.
  • Участие в полном процессе Vulnerability Management: обнаружение, triage, оценка риска, приоритизация и контроль устранения уязвимостей.
  • Проведение инфраструктурных сканирований (Rapid7, OpenVAS или аналогичные решения).
  • Анализ CVE, оценка критичности по CVSS и подготовка рекомендаций по устранению.
  • Взаимодействие с Dev, DevOps и инфраструктурными командами по вопросам remediation.
  • Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей.
  • Подготовка документации, отчётов, методологий и рекомендаций по безопасности.
Требования:
  • Высшее образование в области информационных технологий или информационной безопасности.
  • Опыт работы в AppSec и/или Vulnerability Management не менее 3 лет.
  • Отличное понимание OWASP Top 10, OWASP ASVS, CWE и механизмов эксплуатации веб-уязвимостей.
  • Понимание принципов реализации атак: XSS, SQLi, SSRF, IDOR, XXE, Path Traversal, RCE и других распространённых векторов.
  • Практический опыт работы с инструментами AppSec: Semgrep CE, Bandit, Gitleaks, Trivy, Syft/Grype, OWASP ZAP, Nuclei.
  • Опыт интеграции SAST/SCA/DAST в CI/CD (GitLab CI, GitHub Actions, Jenkins).
  • Опыт работы с инфраструктурными сканерами уязвимостей (Rapid7, OpenVAS).
  • Умение проводить triage уязвимостей, определять приоритеты и оценивать риски.
  • Знание CVE, CVSS, MITRE ATT&CK и умение применять их при анализе угроз.
  • Опыт формирования и использования SBOM (CycloneDX, SPDX).
  • Опыт анализа результатов SAST/DAST/SCA и инфраструктурных отчётов.
Навыки проведения threat modeling и анализа архитектуры приложений.Дополнительные требования
  • Понимание сетевого стека: TCP/IP, HTTP/HTTPS, DNS, DHCP, TLS, основы маршрутизации.
  • Знание принципов сетевой безопасности: ACL, NAT, VPN, firewalls, proxy, IDS/IPS.
  • Опыт работы с Docker и понимание основ Kubernetes и угроз контейнерной безопасности.
  • Базовые навыки чтения и понимания кода (желательно Python, Java, JavaScript/TypeScript).
  • Понимание принципов работы API: REST, JSON, JWT, OAuth2.
  • Понимание подходов Secure SDLC
  • Умение работать с Git, pull requests, пайплайнами и артефактами сборки.
  • Приветствуются сертификаты: Security+, CEH, OSCP, OSWE, GWAPT, CSSLP.
  • Уверенное чтение технической документации на английском языке.
Мы предлагаем:
  • Английский и Казахский языки: бесплатно и удобно, прямо внутри компании;
  • Заботимся о форме и здоровье: компенсируем фитнес и медицинские услуги;
  • Мы за активный отдых: футбол, баскетбол, яркие летний и зимний корпоративы;
  • Корпоративная библиотека для поиска идей и решения рабочих задач;
  • Настольный теннис в офисе для коротких перерывов и заряда энергией.
Корпоративная экосистема Butterfly Effect(ранее Kazdream) - это группа компаний объединенная общей миссией, ценностями и корпоративной культурой, но осуществляющих независимую деятельность в бизнес направлениях.Butterfly Effect объединяет 7 групп компаний: Kazdream Group, 7G Group, MSSP.Global, Kompra Group, Aimap Group, Keden Group, ProPeople и благотворительный фонд @plus1elonmask.kzProPeople-сервисная компания по эффективному управлению операционной деятельностью.

HeadHunter