AppSec-инженер
Золотое Яблоко. · зарплата не указана · локация не указана · Telegram · опубликовано 25 мая 2026 г.
Описание вакансии
Опыт: 1–3 года.
Что нужно делать:
Проверять безопасность сервисов, приложений, архитектуры, новых фич - и сопровождать внедрение мер по устранению выявленных рисков.
Давать рекомендации по построению безопасной архитектуры, описывать целевую архитектуру по лучшим практикам (в т.ч. OWASP).
Анализировать код разрабатываемых компанией сервисов на наличие уязвимостей.
Проводить аудит безопасности необходимых сред и приложений (web, API, mobile).
Проводить аудит и тестирование программ лояльности на предмет безопасности и возможных злоупотреблений, включая анализ бизнес-логики.
Составлять отчеты по результатам аудитов, заводить задачи в Jira с рекомендациями, сопровождать их до закрытия и перепроверки, контролировать недопущение роста технического долга безопасности.
Строить и поддерживать в актуальном состоянии модели угроз по закрепленным сервисам.
Составлять рекомендации по улучшению автоматических сканеров анализа уязвимостей (совместно с DevSecOps).
Анализировать уязвимости, поступающие по программе bug bounty: триаж, оценка, рекомендации.
Оказывать теоретическую и практическую помощь младшим специалистам команды, участвовать в их обучении и передаче экспертизы.
Требования:
Коммерческий опыт работы в AppSec / анализе защищённости от 2 лет.
Глубокие знания web-технологий, понимание архитектуры микросервисных приложений.
Понимание природы уязвимостей из OWASP Top 10 и OWASP Mobile Top 10 и умение их эксплуатировать.
Умение работать с инструментами: nmap, BurpSuite, ZAP, MSF, SQLmap, nuclei, mobsf, gobuster и другими. Способность объяснить, как они работают в "боевом" режиме.
Опыт построения моделей угроз (STRIDE / threat modeling) и ревью архитектуры.
Опыт анализа кода (Code Review с точки зрения безопасности) хотя бы на одном из распространенных стеков.
Опыта тестирования на проникновение веб-приложений, мобильных приложений и API от 1 года.
Знаний принципов работы средств защиты информации (WAF и решений на уровне сервиса).
Умение обходить защиту на уровне приложений и средств защиты информации.
Откликнуться.