Application Security Engineer (Специалист по безопасности приложений)

Компания "Asterium" ищет опытного Application Security Engineer для обеспечения безопасности нашей криптовалютной биржи и криптокошелька.

В этой роли вы будете отвечать за внедрение практик безопасной разработки, выявление и устранение уязвимостей в коде и архитектуре наших приложений.

Ваша работа будет критически важна для защиты активов пользователей и обеспечения надежности нашей криптовалютной платформы.

Обязанности:

• Настройка и сопровождение инструментов для анализа безопасности приложений (SAST, SCA, DAST, MAST) в процессе разработки криптовалютной платформы.
• Проведение анализа защищенности и тестирования на проникновение веб-приложений, API и мобильных приложений криптобиржи и криптокошелька.
• Анализ результатов сканирований и предоставление командам разработки информации о выявленных уязвимостях, помощь в их устранении.
• Проведение code review с фокусом на безопасность в компонентах, отвечающих за управление криптовалютными активами и транзакциями.
• Консультирование команд разработки по вопросам безопасной реализации критичных функций криптокошелька и биржи.
• Внедрение механизмов безопасности на различных стадиях жизненного цикла ПО (Secure SDLC).
• Анализ и валидация уязвимостей в исходном коде, зависимостях и open-source компонентах.
• Проведение моделирования угроз для новых функций криптовалютной платформы.
• Разработка правил для автоматизированных средств идентификации уязвимостей и внедрение их в CI/CD конвейер.
• Взаимодействие с командами разработки и DevOps для интеграции безопасности в процессы разработки и деплоя.

• Опыт работы в области Application Security не менее 4-5 лет.
• Понимание цикла безопасной разработки ПО (Secure SDLC) и практический опыт его внедрения.
• Уверенные навыки работы с инструментами SAST, SCA, DAST, MAST.
• Глубокое понимание уязвимостей Client-Side и Server-Side (таких как XSS, CSRF, SSRF и других) и способность их проэксплуатировать.
• Знание OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, CWE Top 25 и умение применять эти знания на практике.
• Опыт тестирования веб-приложений и API (Burp Suite, ZAP, Postman, Nuclei).
• Способность читать и анализировать код на различных языках программирования.
• Опыт работы с уязвимостями в open-source зависимостях и их анализ.
• Понимание основ криптографии, механизмов авторизации и аутентификации (TLS/SSL, PKI, OAuth2, JWT, SAML 2.0, OpenID Connect).
• Опыт работы с контейнерами (docker, podman) и анализом логов безопасности.
• Владение техническим английским языком.

Что будет плюсом:

• Опыт работы в криптовалютных компаниях или финтех-проектах.
• Знания в области блокчейн-технологий и безопасности смарт-контрактов.
• Понимание специфических угроз и атак на криптовалютные биржи и кошельки.
• Опыт работы с Kubernetes и контейнерной безопасностью (NeuVector, Falco, PodSecurity Policies).
• Навыки программирования на Java, Kotlin, Swift, Javascript или других языках.
• Опыт управления Bug Bounty программами.
• Опыт проведения внутренних тренингов по безопасной разработке ПО.
• Наличие профильных сертификатов в области безопасности приложений (OSWA, OSWE, BSCP, eMAPT).
• Знание распространенных фреймворков машинного обучения и понимание OWASP AI Security.
• Опыт внедрения практик DevSecOps в процесс разработки.
• Понимание подходов к безопасности в микросервисной архитектуре.

• Оформление согласно ТК РУз.
• Работа из уютного офиса — современное пространство комфортными рабочими местами.
• Все для продуктивной работы — мощная техника, 2 монитора (если нужно), быстрый интернет.
• Живое общение с командой — легко обмениваться идеями, быстро решать задачи.
• Очень здоровая и позитивная атмосфера.
• Неоценимый опыт.
• Руководство, которое всегда старается прислушиваться к команде, чтобы все чувствовали себя комфортно.