Просмотр вакансии

Сегодня 04-07-2026 15:46
29.06.2026, 10:09

AppSec-инженер в MAX

Работодатель: VK

VK

Город: Москва
Занятость: Полная, 5/2
Опыт работы: От 1 года до 3 лет

Мы разрабатываем крупнейший мессенджер в России, чтобы соединять людей, сервисы и компании. Наша миссия — создавать простые и удобные инструменты коммуникации.

Ищем в команду опытного инженера Application Security для поддержки и развития процессов безопасной разработки.

Задачи

  • Внедрение и развитие процессов Security SDLC: интеграция проверок безопасности на всех этапах разработки — от проектирования (Security Champions, threat modeling) до запуска в продакшен
  • Пентест и исследования: проведение ручного тестирования безопасности веб-приложений, мобильных приложений и API; участие в программах Bug Bounty
  • Работа со статическим и динамическим анализом кода (SAST/DAST): использование автоматизированных инструментов сканирования, триаж и написание рекомендаций по устранению
  • Код-ревью: проведение экспертного анализа исходного кода на предмет уязвимостей (OWASP Top 10, CWE)
  • Консультирование команд: тесная работа с разработчиками, архитекторами и DevOps-инженерами. Объяснение уязвимостей, помощь в поиске лучших способов их устранения, проведение воркшопов
  • Управление уязвимостями: классификация, приоритизация и контроль устранения найденных уязвимостей
  • Разработка безопасных стандартов: создание и внедрение чек-листов, гайдов и лучших практик (secure coding guidelines) для разработчиков

Требования

  • Опыт работы на позиции AppSec Engineer или пентестера веб-приложений от двух лет
  • Глубокое понимание OWASP Top 10, CWE Top 25, принципов построения веб-приложений и типовых уязвимостей
  • Опыт работы с одним или несколькими инструментами SAST, DAST, SCA (Burp Suite, OWASP ZAP и так далее)
  • Умение читать и понимать код на одном из языков программирования, например на Python, Go, Java, Java Script
  • Знание основных протоколов и технологий: HTTP/HTTPS, SSL/TLS, REST API, JSON Web Tokens (JWT)
  • Понимание принципов работы современных CI/CD-систем (GitLab CI, GitHub Actions, Jenkins)
  • Умение понятно объяснять сложные концепции безопасности разработчикам
  • Стремление автоматизировать рутину и постоянно учиться новому

Будет плюсом

  • Опыт проведения threat modeling
  • Навыки в области облачной безопасности
  • Знание контейнеризации (Docker, Kubernetes) и принципов DevSecOps
  • Наличие публичных работ (статьи, доклады, выводы CVE) или участие в программах Bug Bounty и конференциях
  • Соответствующие сертификации: OSCP, OSWE, GWEB, CSSLP и другие

Адрес: Москва, Ленинградский проспект, 39с79

 

Откликнуться на вакансию

Дата
05.07 06.07
USD
2.9062 2.905
EUR
3.3096 3.3156
RUB
3.731 3.7314
CNY
4.2833 4.2863
CHF
3.5857 3.6082
GBP
3.85 3.8754
PLN
7.7059 7.724
Минск
Ночью: °C
Утром: °C
Днем: °C
Вечером: °C

Сейчас: Скорость ветра: 5-7 м/c Атм. давление: 758 мм.рт.ст Влажность: 90%

Спецпредложения