Компания "ASTERIUM"
Компания "Asterium" ищет опытного Application Security Engineer для обеспечения безопасности нашей криптовалютной биржи и криптокошелька.
В этой роли вы будете отвечать за внедрение практик безопасной разработки, выявление и устранение уязвимостей в коде и архитектуре наших приложений.
Ваша работа будет критически важна для защиты активов пользователей и обеспечения надежности нашей криптовалютной платформы.
Обязанности:
- Настройка и сопровождение инструментов для анализа безопасности приложений (SAST, SCA, DAST, MAST) в процессе разработки криптовалютной платформы.
- Проведение анализа защищенности и тестирования на проникновение веб-приложений, API и мобильных приложений криптобиржи и криптокошелька.
- Анализ результатов сканирований и предоставление командам разработки информации о выявленных уязвимостях, помощь в их устранении.
- Проведение code review с фокусом на безопасность в компонентах, отвечающих за управление криптовалютными активами и транзакциями.
- Консультирование команд разработки по вопросам безопасной реализации критичных функций криптокошелька и биржи.
- Внедрение механизмов безопасности на различных стадиях жизненного цикла ПО (Secure SDLC).
- Анализ и валидация уязвимостей в исходном коде, зависимостях и open-source компонентах.
- Проведение моделирования угроз для новых функций криптовалютной платформы.
- Разработка правил для автоматизированных средств идентификации уязвимостей и внедрение их в CI/CD конвейер.
- Взаимодействие с командами разработки и DevOps для интеграции безопасности в процессы разработки и деплоя.
Требования: - Опыт работы в области Application Security не менее 4-5 лет.
- Понимание цикла безопасной разработки ПО (Secure SDLC) и практический опыт его внедрения.
- Уверенные навыки работы с инструментами SAST, SCA, DAST, MAST.
- Глубокое понимание уязвимостей Client-Side и Server-Side (таких как XSS, CSRF, SSRF и других) и способность их проэксплуатировать.
- Знание OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, CWE Top 25 и умение применять эти знания на практике.
- Опыт тестирования веб-приложений и API (Burp Suite, ZAP, Postman, Nuclei).
- Способность читать и анализировать код на различных языках программирования.
- Опыт работы с уязвимостями в open-source зависимостях и их анализ.
- Понимание основ криптографии, механизмов авторизации и аутентификации (TLS/SSL, PKI, OAuth2, JWT, SAML 2.0, OpenID Connect).
- Опыт работы с контейнерами (docker, podman) и анализом логов безопасности.
- Владение техническим английским языком.
Что будет плюсом:
- Опыт работы в криптовалютных компаниях или финтех-проектах.
- Знания в области блокчейн-технологий и безопасности смарт-контрактов.
- Понимание специфических угроз и атак на криптовалютные биржи и кошельки.
- Опыт работы с Kubernetes и контейнерной безопасностью (NeuVector, Falco, PodSecurity Policies).
- Навыки программирования на Java, Kotlin, Swift, Javascript или других языках.
- Опыт управления Bug Bounty программами.
- Опыт проведения внутренних тренингов по безопасной разработке ПО.
- Наличие профильных сертификатов в области безопасности приложений (OSWA, OSWE, BSCP, eMAPT).
- Знание распространенных фреймворков машинного обучения и понимание OWASP AI Security.
- Опыт внедрения практик DevSecOps в процесс разработки.
- Понимание подходов к безопасности в микросервисной архитектуре.
Условия: - Оформление согласно ТК РУз.
- Работа из уютного офиса — современное пространство комфортными рабочими местами.
- Все для продуктивной работы — мощная техника, 2 монитора (если нужно), быстрый интернет.
- Живое общение с командой — легко обмениваться идеями, быстро решать задачи.
- Очень здоровая и позитивная атмосфера.
- Неоценимый опыт.
- Руководство, которое всегда старается прислушиваться к команде, чтобы все чувствовали себя комфортно.