AppSec Engineer

Аудиты безопасности сервисов • Проведение ручного и автоматизированного анализа защищённости веб-приложений, API, мобильных приложений и внутренних сервисов • Выявление уязвимостей согласно методологии OWASP и внутренним стандартам Заказчика • Подготовка отчётов с описанием вектора атаки, степени критичности (CVSS v3.1), шагами воспроизведения и конкретными рекомендациями по устранению • Проведение найденных уязвимостей по процессу управления уязвимостями/дефектами • Верификация исправлений (retesting) после закрытия уязвимостей командами разработки

Аудиты сервисов в рамках ПСИ • Проведение AppSec-проверок перед вводом систем или изменений в системах в промышленную эксплуатацию в рамках приёмочных испытаний • Оценка соответствия сервиса внутренним Security Requirements Заказчика • Фиксация результатов в системе управления проектами (Jira) с категоризацией по критичности и блокирующим статусом для выпуска • Проведение найденных уязвимостей по процессу управления уязвимостями/дефектами • Верификация исправлений (retesting) после закрытия уязвимостей командами разработки

Триаж файндингов • Анализ и верификация результатов автоматического сканирования SAST, SCA, Secret Detection, DAST в ASOC-платформе (Semgrep и др.) и в выводе job output пайплайнов безопасности внутри сервисов • Отделение истинных срабатываний от ложных, классификация по степени риска и приоритизация для команд разработки • Проведение подтверждённых уязвимостей по процессу управления уязвимостями/дефектами • Исключение ложноположительных срабатываний в единой системе управления исключениями • Снижение «шума» инструментального анализа за счёт доработки исключений ложноположительных срабатываний и кастомизации правил сканирования

Ведение уязвимостей по процессу управления уязвимостями • Сопровождение жизненного цикла уязвимости: от обнаружения до подтверждённого закрытия • Взаимодействие с командами разработки по вопросам сроков устранения, эскалация просроченных задач • Контроль соответствия SLA по устранению уязвимостей, установленных Заказчиком

Формирование кастомных правил для SAST и Secret Detection • Разработка кастомных правил Semgrep (и иных SAST-инструментов) для выявления уязвимостей, характерных для технологического стека Заказчика • Создание правил обнаружения утечек секретов (Secret Detection) с учётом применяемых в компании форматов токенов, ключей и credentials • Тестирование правил с помощью инструментов Заказчика, итеративная доработка • Документирование правил: назначение, примеры срабатывания, ожидаемые результаты

Формирование кастомных шаблонов для DAST • Разработка шаблонов Nuclei и иных DAST-инструментов для автоматизированной проверки уязвимостей, специфичных для приложений Заказчика • Создание шаблонов для проверки бизнес-логики, аутентификации, авторизации и нестандартных эндпоинтов API • Тестирование шаблонов, документирование и передача в продуктивную эксплуатацию Заказчика

Доработка правил защиты, установленных на WAF • Разработка кастомных правил защиты для WAF в целях защиты приложений Заказчика • Тестирование кастомных правил защиты, документирование и передача в продуктивную эксплуатацию Заказчика

Формирование документации • Разработка технической и процессной документации по результатам взаимодействия с командами: описание архитектуры с точки зрения безопасности, модели угроз, описание бизнес-логики сервисов • Создание Security Notes, гайдов по безопасной разработке, чеклистов для конкретных технологий стека Заказчика • Поддержание документации в актуальном состоянии при изменении архитектуры сервисов

Формирование рекомендаций по Security Requirements и ЛНД • Анализ существующих Security Requirements, Security Notes и ЛНД на предмет актуальности и полноты покрытия • Подготовка предложений по расширению требований с учётом новых угроз, технологий и выявленных в ходе аудитов паттернов уязвимостей • Участие в согласовании обновлений нормативных документов с командами разработки и безопасности

Ресёрч по улучшению инструментов и подходов AppSec • Мониторинг актуального ландшафта угроз, новых CVE и техник атак, применимых к стеку Заказчика • Исследование новых инструментов, методологий и подходов (SAST, DAST, SCA, Supply Chain Security, AI-assisted security) • Подготовка структурированных отчётов с оценкой применимости, сравнительным анализом и рекомендациями по внедрению • Проведение proof-of-concept (PoC) для наиболее перспективных инструментов в среде Заказчика

• Срок привлечения - 1 год;
• Проект - один из крупных сервисов доставки еды в России

Ограничения:

• Локация - РФ;
• Часовой пояс не больше двух часов разницы от МСК.