Инженер Информационной безопасности (AppSec) at IT Холдинг Kazdream — NeverHard

Чем предстоит заниматься: Обеспечение безопасности приложений и сервисов на всех этапах жизненного цикла разработки. Реализация процессов Application Security: анализ SAST, DAST, SCA, контейнерных и dependency-сканов. Интеграция проверок безопасности в CI/CD пайплайны. Формирование и поддержка SBOM, анализ зависимостей и связанных уязвимостей. Проверка сторонних библиотек, зависимостей и Docker-образов на предмет рисков. Проведение threat modeling и участие в проектировании безопасной архитектуры. Участие в полном процессе Vulnerability Management: обнаружение, triage, оценка риска, приоритизация и контроль устранения уязвимостей. Проведение инфраструктурных сканирований (Rapid7, OpenVAS или аналогичные решения). Анализ CVE, оценка критичности по CVSS и подготовка рекомендаций по устранению. Взаимодействие с Dev, DevOps и инфраструктурными командами по вопросам remediation. Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей. Подготовка документации, отчётов, методологий и рекомендаций по безопасности. Требования: Высшее образование в области информационных технологий или информационной безопасности. Опыт работы в AppSec и/или Vulnerability Management не менее 3 лет. Отличное понимание OWASP Top 10, OWASP ASVS, CWE и механизмов эксплуатации веб-уязвимостей. Понимание принципов реализации атак: XSS, SQLi, SSRF, IDOR, XXE, Path Traversal, RCE и других распространённых векторов. Практический опыт работы с инструментами AppSec: Semgrep CE, Bandit, Gitleaks, Trivy, Syft/Grype, OWASP ZAP, Nuclei. Опыт интеграции SAST/SCA/DAST в CI/CD (GitLab CI, GitHub Actions, Jenkins). Опыт работы с инфраструктурными сканерами уязвимостей (Rapid7, OpenVAS). Умение проводить triage уязвимостей, определять приоритеты и оценивать риски. Знание CVE, CVSS, MITRE ATT&CK и умение применять их при анализе угроз. Опыт формирования и использования SBOM (CycloneDX, SPDX). Опыт анализа результатов SAST/DAST/SCA и инфраструктурных отчётов. Навыки проведения threat modeling и анализа архитектуры приложений. Дополнительные требования Понимание сетевого стека: TCP/IP, HTTP/HTTPS, DNS, DHCP, TLS, основы маршрутизации. Знание принципов сетевой безопасности: ACL, NAT, VPN, firewalls, proxy, IDS/IPS. Опыт работы с Docker и понимание основ Kubernetes и угроз контейнерной безопасности. Базовые навыки чтения и понимания кода (желательно Python, Java, JavaScript/TypeScript). Понимание принципов работы API: REST, JSON, JWT, OAuth2. Понимание подходов Secure SDLC Умение работать с Git, pull requests, пайплайнами и артефактами сборки. Приветствуются сертификаты: Security+, CEH, OSCP, OSWE, GWAPT, CSSLP. Уверенное чтение технической документации на английском языке. Мы предлагаем: Английский и Казахский языки: бесплатно и удобно, прямо внутри компании; Заботимся о форме и здоровье: компенсируем фитнес и медицинские услуги; Мы за активный отдых: футбол, баскетбол, яркие летний и зимний корпоративы; Корпоративная библиотека для поиска идей и решения рабочих задач; Настольный теннис в офисе для коротких перерывов и заряда энергией.