Application Security инженер, Cloud.ru

ЗП: от 150к до 400к на руки (обсуждается по итогам интервью)

Уровень: middle, middle+, senior
Локация: РФ
Формат работы: удалёнка/гибрид/офис
Занятость: фулл-тайм

Обязанности:
-Взаимодействие с DevOps в рамках интеграции инструментов безопасной разработки;
-Анализ защищённости приложений (тестирование продукта с помощью автоматизированных инструментов) (SAST/DAST/SCA, Container security и т.д.));
-Предоставлять командам информацию о найденных уязвимостях и помогать в их устранении;
-Участие в разработке правил для автоматизированных инструментов (SAST/DAST и т.д.).
-Участвовать в сопровождении BugBounty.

Требования:
-Опыт работы от 2-х лет на позиции AppSec-инженера (WEB пентестера);
-Знание и понимания принципов эксплуатации угроз из OWASP Top 10, CWE Top 25 и защиты от них;
-Навыки работы с инструментами SAST, DAST, SCA/OSA, ASOC, др.;
-Понимание принципов устройства REST/gRPC API;
-Понимание принципов работы K8S – операторы, webhooks, reconciliation loop;
-Понимание принципов построения безопасного межсервисного взаимодействия;
-Опыт работы с инструментами контейнеризации (Docker, K8S) и автоматического развертывания;
-Базовые знания основ DevOps/DevSecOps (ландшафт систем, их назначение, решаемые задачи, общее понимание процессов);
-Опыт анализа исходного кода и выявления уязвимостей, как минимум на Go/Python.

Будет плюсом:
-Сертификат OSWE/BSCP;
-Участие в BugBounty.

Контакты: @samarov_a

DevSecOps,Транснефть-Технологии

ЗП: 150-250к на руки + премии

Формат: гибрид 2(офис)/3 Москва
Уровень: junior/junior+

Чем предстоит заниматься:
- выстраивание DevSecOps

Что для этого нужно:
- базовое знание ос/сетей
- навыки автоматизации задач на python/bash/go
- оконченное высшее образование (требование компании)

Будет плюсом:
- понимание процессов безопасной разработки
- опыт интеграции и работы со сканерами безопасности

Контакты: @ilich_i

Senior DevSecOps Engineer, Aram Meem/ToYou

Salary: 6000-8000 EUR GROSS (negotiable)

Location: Remote work and/or relocation to Cyprus can be considered

As a DevSecOps Engineer, you will play a key role in building and maintaining a secure and automated cloud infrastructure. Your mission is to integrate security into every stage of the software delivery lifecycle - from code to production. You will collaborate with development, AppSec, and platform teams to improve authentication systems, strengthen CI/CD security, and enhance inter-service communication within Kubernetes and AWS environments. This position is ideal for someone who enjoys automation, security engineering, and bridging the gap between developers and operations.

Detailed Job Denoscription: https://toyou.bamboohr.com/careers/393

Contacts: Telegram @sofidem

AppSec-инженер, OKKO

ЗП: 200 000 – 400 000 гросс

Локация: Гибрид в СПБ или удаленно по РФ

Опыт: от 3-х лет в pentest или от 2-х лет в роли AppSec

Чем предстоит заниматься:
• Тестированием безопасности и проверки кода для повышения безопасности программного продукта;
• Менеджментом уязвимостей и триажем результатов работы автоматизированных инструментов (SAST, DAST, SCA и т.д.);
• Консультированием разработчиков и тестировщиков по вопросам безопасности;
• Участием в процессе согласований безопасности;
• Реагированием на инциденты безопасности.

Что для нас важно:
• Коммерческий опыт в аналогичной должности от 2-х лет;
• Опыт поиска, эксплуатации и оценки уязвимостей, а также понимание причин их возникновения;
• Умение читать и понимать чужой код: Java/Kotlin (generic, android), Python, Go, JavaScript/TypeScript, Swift, C/C++, C#;
• Знание основных видов веб- и мобильных уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code Injection и т.д.);
• Понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM);
• Понимание работы веб-протоколов и технологий (HTTP, HTTPS, WebSocket, SOAP, AJAX, JSON, REST);
• Базовое понимание принципов работы технологий CI/CD, контейнеризации и оркестрации;
• Базовое владение одним из языков программирования: Python, Go, Bash.

Контакты: https://news.1rj.ru/str/buslidzeds

Application Security Engineer – V-Team, Wildberries

ЗП: до 450 000 рублей net

Уровень: Middle+ / Senior
Формат работы: удалёнка или гибрид

Wildberries активно инвестирует в новые направления бизнеса, расширяя экосистему продуктов компании. Это множество еще не анонсированных проектов, которые требуют, в том числе, активного участия команды безопасности. Мы ищем опытного AppSec-специалиста, который будет закреплен за частью новых продуктов и поможет нам внедрять практики безопасной разработки в новообразовавшиеся команды.

Основные задачи:
• Интеграция практик безопасности в процессы разработки
• Анализ безопасности архитектуры новых продуктов
• Формирование требований по безопасности и контроль их соблюдения
• Тестирование приложений на наличие уязвимостей
• Консультирование и обучение продуктовых команд по вопросам безопасности

Необходимый опыт и навыки:
• Глубокое понимание архитектуры и принципов работы современных веб-сервисов
• Опыт внедрения и развития процессов безопасной разработки
• Знание актуальных уязвимостей веб-приложений и умение вырабатывать эффективные меры по их устранению и предотвращению
• Хорошие навыки коммуникации и желание активно взаимодействовать с продуктом

Контакты: @alina_velbik

DevSecOps-инженер, 2GIS

ЗП: до 350 000 руб

Формат работы: удаленный

Задачи:
1. Внедрение и развитие практик DevSecOps и инструментов обеспечения безопасности в процессах разработки программного обеспечения (ПО):
• Участие в проектировании архитектур CI/CD и процессов безопасной разработки.
• Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD пайплайнах.
• Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки.
• Стандартизация работы с уязвимостями кода.
2. Участие в проектировании архитектур CI/CD и процессов безопасной разработки:
• Проведение аудита текущих процессов по безопасной разработке ПО.
• Разработка стратегии и необходимых стандартов и регламентов по безопасной разработке ПО.
• Определение оптимальных методов и технологий для реализации требований по безопасной разработке ПО.
3. Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD пайплайнах:
• SAST/DAST/SCA/СА и др.
• Внедрение в конвейер CI/CD продуктовых команд разработки ПО инструментов и сервисов по безопасной разработке ПО.
• Администрирование инструментов безопасной разработки ПО: установка, настройка, обновление, управление доступом и т.д.
4. Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки:
• Тестирование и внедрение новых инструментов и методик для повышения безопасности в процессах разработки ПО.
• Развитие существующих процессов разработки ПО для улучшения автоматизации выявления дефектов.
5. Стандартизация работы с уязвимостями кода:
• Участие в разработке и внедрении стандартов и процедур для выявления, устранения и управления уязвимостями кода.
• Обеспечение соблюдения этих стандартов всеми командами разработки.
6. Взаимодействие со смежными подразделениями по выстраиванию процессов безопасной разработки ПО:
• Взаимодействие с продуктовыми командами разработки ПО.
• Взаимодействие с командами DevOps.
• Участие в согласовании релизов и новых сборок ПО.

Ожидания:
• Высшее техническое образование в области ИТ или ИБ.
• Опыт работы на аналогичной должности не менее 3-х лет.
• Понимание процессов и процедур DevSecOps.
• Опыт разработки на Python: написание скриптов для автоматизации задач и процессов по безопасной разработке ПО.
• Опыт работы с различными инструментами по безопасной разработке ПО, т.к. SAST/DAST/SCA/СА.
• Опыт работы с Gitlab CI

Контакты: @Darena2Gis

https://job.2gis.ru/software/76189/

AppSec, 2GIS

ЗП: до 350 000 руб

Формат работы: удаленный

Задачи:
1. Поиск и анализ уязвимостей в программном обеспечении (ПО) и в исходном программном коде собственной разработки и разработанном подрядчиками:
• Поиск и анализ уязвимостей в программном коде и внешних зависимостях.
• Поиск и анализ уязвимостей в прикладном ПО.
• Анализ выявленных уязвимостей и разработка рекомендаций по их устранению.
• Взаимодействие с ответственными за устранение уязвимостей, контроль их выполнения.
2. Внедрение и сопровождение инструментов и сервисов по безопасной разработке ПО:
• SAST/DAST/SCA/СА и др.
• Настройка конфигурации безопасных CI/CD пайплайнов.
• Внедрение в конвейер CI/CD продуктовых команд разработки ПО инструментов и сервисов по безопасной разработке ПО.
3. Внедрение и усовершенствование процессов по безопасной разработке ПО:
• Проведение аудита текущих процессов по безопасной разработке ПО.
• Разработка стратегии и необходимых стандартов и регламентов по безопасной разработке ПО.
• Разработка и внедрение рекомендаций по усилению безопасности в процессах по безопасной разработке ПО.
• Обучение сотрудников продуктовых команд разработки ПО стандартам безопасной разработки ПО.
4. Взаимодействие со смежными подразделениями по выстраиванию процессов безопасной разработке ПО:
• Взаимодействие с продуктовыми командами разработки ПО.
• Взаимодействие с командами DevOps/DevSecOps.
• Участие в согласовании релизов и новых сборок ПО.

Ожидания:
• Высшее техническое образование в области ИТ или ИБ.
• Опыт работы на аналогичной должности не менее 3-х лет.
• Опыт разработки ПО будет плюсом.
• Понимание процессов и процедур DevSecOps.
• Опыт разработки на Python: написание скриптов для автоматизации задач и процессов по безопасной разработке ПО.
• Опыт работы с различными инструментами по безопасной разработке ПО, т.к. SAST/DAST/CSA

Контакты: @darya_vitalezovna

https://job.2gis.ru/software/75155/

DevSecOps Engineer, Защищенные телекоммуникации (ZT)

ЗП: от 200к net

Формат работы: fulltime, удаленно
Грейд: middle

Что хотим видеть:
- Понимание кибербезопасности: знание OWASP Top 10, MITRE ATT&CK, распространенных уязвимостей (XSS, CSRF, SQLi, RCE и т.д.);
- Опыт работы с инструментами анализа кода;
- Опыт работы с инструментами сканирования работающих приложений;
- Умение работать с секретами;
- Понимание и опыт настройки пайплайнов в GitLab CI/CD;
- Опыт работы с Docker и оркестраторами (Kubernetes).

Будет дополнительным плюсом: бэкграунд в DevOps, опыт управления зависимостями и поиска уязвимостей в сторонних библиотеках и опыт настройки мониторинга безопасности (SIEM).

Задачи:
- Внедрение и автоматизация практик безопасности (SAST, DAST, SCA) в процесс CI/CD;
- Разработка безопасных и соответствующих best practices конфигураций инфраструктуры (Terraform, Kubernetes);
- Мониторинг безопасности приложений и инфраструктуры, реагирование на инциденты;
- Консультирование команд разработки по вопросам безопасности и безопасной разработки (Secure SDLC).

Контакты: @belcat666

DevSecOps, ООО «АФЛТ-Системс»

ЗП: до 400 000 рублей net

Уровень: Senior
Формат работы: гибрид
Город: Москва, м. Новокузнецкая (можем рассмотреть из других городов с учетом командировок в Москву)

ООО «АФЛТ-Системс» – официально аккредитованная в Минцифры ИТ-компания, основанная в сентябре 2022 года. Входит в состав Группы компаний «Аэрофлот». Основное направление деятельности– внедрение, проектирование и реализация ключевых инициатив и проектов Группы компаний «Аэрофлот» в области информационных технологий.

Чем предстоит заниматься:
1. Участие в проектировании архитектур CI/CD и процессов безопасной разработки:
Участие в разработке и внедрении конвейеров CI/CD с учетом требований безопасности на каждом этапе.
Определение оптимальных методов и технологий для реализации требований безопасности.
2. Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD-пайплайнах (как в существующих, так и в новых):
Выбор и автоматизация инструментов безопасности в процессы непрерывной интеграции и доставки (CI/CD).
Настройка и поддержка работы этих инструментов для обеспечения безопасности на всех этапах разработки и деплоя (размещения готовой версии программного обеспечения на платформе).
Внедрение механизмов безопасности в системы непрерывной интеграции и доставки.
3. Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки:
Тестирование и внедрение новых инструментов и методик для повышения безопасности.
Развитие существующих процессов разработки для улучшения автоматизации выявления дефектов.
4. Стандартизация работы с уязвимостями:
Участие в разработке и внедрение стандартов и процедур для выявления, устранения и управления уязвимостями.
Обеспечение соблюдения этих стандартов всеми командами разработки.
5. Оценка уязвимости приложений/сервисов к различным атакам:
Проведение тестов на проникновение и анализа уязвимостей.
Оценка рисков и уязвимостей для различных типов атак.
6. Проведение Code Review:
Взаимодействие с командами разработки для устранения потенциальных дефектов.
Проведение демонстрации эксплуатации уязвимостей, выявленных в ходе Code Review и инструментами безопасности.
Повышение осведомленности команд разработки по процессам безопасной разработки.
7. Построение модели угроз информационной безопасности приложений/сервисов и формирование предложений в части механизмов защиты:
Участие в разработке моделей угроз для идентификации потенциальных рисков.
Формирование предложений и рекомендаций по улучшению защиты.
8. Реализация задач по безопасности K8s:
Выбор инструментов для выявления недостатков в конфигурации компонентов Kubernetes;
Реализация мер безопасности для различных компонентов Kubernetes.

Ваши навыки и опыт:
• Опыт работы в области информационной безопасности или безопасной разработки;
• Проектирование систем CI/CD-инфраструктуры;
• Разработка требований к архитектуре;
• Опыт разработки на Python и скриптов автоматизации;
• Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов (AppSec/WebAppSec (SAST, DAST, SCA) и DevSecOps (SDLC/SSDLC, Kubernetes, Docker));
• Понимание того, как работают угрозы из OWASP Top 10, OWASP API Security Top 10, OWASP Mobile Top 10, CWE Top 25;
• Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, OWASP SAMM и т.п.).

Контакты: @evgeny_hr

DevSecOps Engineer, Wildberries

ЗП: до 450 тыс. рублей net (зависит от грейда)

Уровень: Middle+ / Senior
Формат: удаленка

Ключевые задачи команды:
• Участие в разработке и развитии собственной платформы для автоматизированного сканирования кода и артефактов (SAST, DAST, SCA).
• Ресерч и внедрение современных практик сканирования кода;
• Консультирование команд разработки по вопросам безопасности, устранению уязвимостей и best practices.
• Улучшение и поддержка процесса управления уязвимостями и дефектами наших продуктов.

Основные требования:
• Опыт работы с инструментами безопасности (SAST, DAST, SCA) и их конфигурации под различные технологии разработки;
• Навыки разработки и автоматизации на одном из языков: Bash, Python или Go;
• Понимание жизненного цикла и практик безопасной разработки продуктов
• Понимание принципов работы GIT и CI/CD.

Контакты: @alina_velbik

AppSec Engineer, MoneyCat (fintech)

ЗП: до 400 тр на руки (обсуждается индивидуально)

Грейд: middle/senior

Задачи:
- Внедрение и сопровождение SAST/DAST/SCA/Secrets в CI/CD.
- Организация процесса управления уязвимостями: приём, приоритизация (CVSS/EPSS/контекст), - постановка задач, контроль ремедиации, SLA.
- Триаж находок из сканеров, баг-баунти и ручных ревью, эскалацию критичных случаев.
- Организация баг-баунти/внешних пентестов: выбор площадки, правила, валидация репортов, выплаты.
- Проведение secure code review (design review, threat modeling).
- Разработка гайдлайнов и сниппетов «как безопасно»: auth, криптография, секреты, инъекции, SSRF, десериализация и пр.
- Обучение разработчиков: короткие воркшопы по безопасным паттернам.
- Участие в инцидентах приложений.

Опыт и навыки:
- опыт в AppSec с фокусом на SSDLC;
- понимание OWASP Top 10, ASVS, MASVS;
- опыт с SAST/DAST/SCA (например, Semgrep, Checkmarx, OWASP ZAP/Burp, Trivy, Dependency check);
- навыки проведения пентестов;
- навыки программирования на одном из ЯП - Python/Go/Java, умение писать безопасные паттерны;
- CI/CD (GitLab/Jenkins), quality gates.

Мы предлагаем:
- Конкурентная зарплата. Обсуждаем на собеседовании, зарплата в рублях, долларах США или криптовалюте.
- Всего два этапа – беседа с HR и интервью с будущим руководителем.
- Удалённо из любой точки мира или в офисах в Маниле (Филиппины), Хошимине (Вьетнам), Гургаоне (Индия), Москве или Ростове-на-Дону.
- 7 оплачиваемых day-off в год.

Контакты: @anastasija_zm

Senior Application Security Engineer, TaxDome

Salary: $4,000 – $6,000

Format: remote-first

Tech stack:
Ruby on Rails · TypeScript · React · GitHub Actions · SAST · DAST · SCA · IAST · AWS · Docker · Kubernetes · BSIMM · OWASP · CI/CD

Who we're looking for:
— 5+ years of software engineering or DevOps experience
— 3+ years in Application Security
— Strong knowledge of OWASP Top 10, CWE, threat modeling
— Ability to perform manual code reviews in Ruby/TypeScript
— Experience integrating security tools into CI/CD
— Strong communication skills and ability to work closely with developers
— Self-driven, proactive, and comfortable owning the AppSec roadmap

What you’ll be doing:
Program & Strategy:
— Building and maturing the AppSec program using BSIMM
— Leading threat modeling sessions and secure design reviews
— Setting security standards, policies, and best practices

Tooling & Automation:
— Selecting and managing AppSec tools (SAST/DAST/SCA/IAST)
— Integrating security checks into CI/CD pipelines
— Automating developer-friendly security workflows

Collaboration & Enablement:
— Guiding developers through vulnerability remediation
— Running a Security Champions program
— Supporting incident response with application-layer expertise

Why this role matters
You’ll define how security is built into a fast-growing SaaS platform — shaping the strategy, tooling, processes, and culture across engineering.

Contact: @inessavasilyeva

Application Security Аналитик, Cloud.ru

ЗП: от 150к до 350к на руки (обсуждается по итогам интервью)

Уровень: middle, middle+, senior
Локация: РФ
Формат работы: удалёнка/гибрид/офис
Занятость: фулл-тайм

Обязанности:
-Взаимодействовать с командами аналитики и разработки для анализа бизнес требований и их влияния на защищенность продукта;
-Моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
-Анализировать возможность мошеннических действий и уязвимостей в бизнес логике приложений;
-Контролировать устранение уязвимостей и взаимодействовать с командой разработчиков с целью устранения проблем безопасности.

Будет плюсом:
-Умение анализировать исходный код на предмет наличия уязвимостей;
-Умение читать код на различных языках программирования.

Требования:
-Знание подходов по оценке уязвимостей и анализу рисков;
-Опыт построения модели угроз;
-Понимание актуальных угроз информационной безопасности, базовые знания о методах атак и уязвимостях, желание обучаться и повышать компетенции в области практической информационной безопасности.

Контакты: @samarov_a

Senior Security Engineer (Infrastructure), GDEV

ЗП: до 7000 евро на руки

Формат: офис на Кипре, в Армении или Казахстане, гибрид или полная удаленка

Задачи:
- Внедрять и улучшать контроли на уровне AWS EKS (kyverno, ролевая модель, мониторинг).
- Управление правилами и администрирование AWS WAF, Akamai WAF.
- Анализ конфигураций и уязвимостей на разных уровнях инфраструктуры (AWS, EKS, AI, IaC, IAM, on-prem) и заведение задач.
- Интегрировать инструменты SAST, SCA, Secret detection и анализировать результаты сканирования.
- Оценивать архитектуру решений с точки зрения безопасности.
- Коммуницировать с командами по архитектурным решениям, устранению уязвимостей.
- Совершенствовать процессы кибербезопасности за счёт автоматизаций, внедрения средств AI, повышения осведомленности.

Важно:
- Опыт работы на аналогичной должности от 5 лет.
- Умение писать и анализировать IaC и манифесты k8s, kyverno.
- Наличие практики в атакующей безопасности и знание современных векторов атак включая облачные технологии, AI, k8s.
- Знание современных практик и инструментов DevOps, GitOps
- Опыт работы c Akamai WAF, AWS WAF.
- Опыт настройки и интеграции инструментов SAST, SCA, Secret detection.
- Инициатива по доставке решений безопасности, выявлению новых уязвимостей, слабых конфигураций, угроз и рисков.
- Уверенный и смелый пользователь инструментов AI (GPT, MCP, n8n, cline, Cursor).
- Умение объяснить, презентовать и защитить сложные концепции на понятном языке.
- Умение работать над задачами самостоятельно в течение всего цикла (постановка, оценка, исследование, принятие решения, выбор из нескольких равновероятных вариантов, реализация, презентация, документирование, закрытие).

Контакты: telegram @yanaosetrova

DevSecOps, Zecurion

ЗП: 200-500к, net/gross зависит от опыта.

Локация: Москва, м. ВДНХ.
Формат: Полная занятость с гибридным графиком.

Под звездочкой: коробочное решение и C++, так же, серьезным сеньорам с амбициями до СТО пока интерес предложить не сможем(надо учитывать).

Задачи:
- Внедрение новых инструментов и практик DevSecOps, интеграция с системами разработки, автоматизация онбординга команд и поддержка непрерывного контроля защищенности приложений.
- Встраивание инструментов безопасности в DevOps процессы, настройка Security Gates, CI/CD пайплайны и автоматизация сканирований.
- IaC-проверки, управление секретами, мониторинг безопасности в рантайме, взаимодействие с разработчиками и устранение рисков в продакшене.

Мы ожидаем:
- Уверенное владение Linux, Docker, инструментами CI/CD.
- Понимание принципов DevSecOps, владение инструментами включая SAST, DAST, SCA и IAST.
- Способность самостоятельно определять и соблюдать установленные сроки задач.

Контакты: @MaryMiro_nova

Senior DevSecOps Engineer, Axevil Capital

ЗП: $3 000 / 300 000 ₽ (USD или RUB - на выбор)

Формат работы: Remote, full-time

Axevil Capital — цифровая private equity платформа для профессиональных инвесторов.
$100+ млн инвестиций, 1000+ инвесторов, портфель: Klarna, Stripe, Databricks, Kraken, Scale AI, Circle, SpaceX.

Задачи:
1. Инфраструктура и DevOps
- Эксплуатация и развитие Kubernetes-кластера (Helm, RBAC, NetworkPolicies, ingress/egress, lifecycle нод)
- Проектирование и поддержка CI/CD пайплайнов в GitLab CI
- Автоматизация и IaC: Ansible, Python/Bash
- Контейнеризация: Docker, сборка и публикация образов
- Виртуализация на базе VMware
- Мониторинг и логирование: ELK Stack, Prometheus, Grafana
- Управление секретами: Vault / SealedSecrets / GitLab secrets
2. Security / DevSecOps
- Внедрение SAST / DAST / SCA
- Контроль безопасности образов и зависимостей
- Policy-as-code (OPA / Kyverno), admission controllers
- Безопасные деплои: image signing, канареечные релизы
- Анализ уязвимостей и сопровождение их исправлений
- Участие в аудитах, рекомендации для dev-команд, security awareness
3. Безопасность на уровне компании
- Роль security-лидера и развитие культуры безопасности
- Проектирование и контроль IAM / SSO / ролевых моделей доступа
- Аудит прав доступа к критичным системам
- Разработка политик, регламентов и процедур безопасности
- Взаимодействие с руководством по вопросам рисков и compliance
- Работа с внешними подрядчиками (пентестеры, аудиторы)

Требования:
- Высшее профильное образование (Математика, Computer Science и тп) + дополнительная квалификация в области Cybersecurity (курсы, повышение квалификации и тп).
- Опыт работы на аналогичных позициях от 4 лет.
- Опыт с Kubernetes и CI/CD
- Python и/или Bash, Ansible
- Понимание DevSecOps, OWASP, MITRE ATT&CK
- Самостоятельность и ответственность

Подробное описание вакансии по ссылке

Контакты: резюме в Telegram @Artemduz

AppSec-инженер, Банк

ЗП: до 350 т.р. gross (можно обсудить индивидуально на собеседовании)

Локация: Екатеринбург
Опыт: 3-5 лет.

Ищем опытного AppSec-инженера, который готов обеспечивать анализ уязвимостей и участвовать в разработке архитектуры системы защиты на разных этапах разработки.

Чем вы будете заниматься:
• Определение угроз безопасности информации (списки актуальных атак в том числе), обоснование необходимости защиты информации. Разработка архитектуры системы защиты;
• Разработка структуры и содержания проектной и рабочей документации, определяющей технические и организационные платформенные решения, компоненты ИТС для обеспечения ИБ;
• Рассмотрение проектной и рабочей документации компонентов ИТС в части соответствия установленным требованиям ИБ;
• Разработка мер защиты информации для бизнес-процессов перевода денежных средств, совершения и сопровождения операций на финансовых рынках, обработки ПД;
• Проведение оценки защищенности прикладных платформ, компонентов ИТС (тестирование на проникновение и выявление известных уязвимостей);
• Участие в подготовке тест-кейсов для автоматического тестирования функций подсистемы ИБ.

От кандидата ожидаем:
• Навык безопасной разработки (AppSec, DevSecOps, SSDLC), понимание принципов работы, систем и технологий виртуализации (XEN, VMware, KVM);
• Опыт противодействия угрозам ИБ и работы с уязвимостями приложений (OWASP Top 10, CWE Top25, СТРК ФСТЭК, УБИ ФСТЭК). Знание стандартов и нормативных документов ИБ;
• Понимание технологий и принципов построения системы защиты информации. Опыт приемки автоматизированных систем, участие в проектной деятельности по предметной области;
• Опыт работы со встроенными механизмами обеспечения ИБ в ОС Windows, Linux;
• Знание принципов и методологий жизненного цикла ИТ-решений, знание основ документирования ИТ-решений;
• Базовое знание ЯП (Java, Go, JS, C#, Python);
• Опыт работы с инструментами CI/CD, системами оркестрации и контейнеризации (Docker, Kubernetes)

Контакты: @hr_nsk28

Application Security Business Partner, EMCD (emcd.io)

ЗП: в рамках 4.5к$, но готовы рассмотреть и больше

Локация: удалённо
Формат: full-time

EMCD - международная крипто-финтех компания и один из крупнейших майнинг-пулов в мире, развивающая продукты в области трейдинга, обмена и Web3. Ищем security-специалиста, который будет работать внутри продуктовых команд и влиять на безопасность решений в юните.

Почему это может быть интересно:
— сложная и живая доменная область: crypto / exchange / fintech
— опыт, который реально котируется на международном рынке
— роль партнёра бизнеса: влияние на решения и процессы, а не просто чек-листы

Что предстоит делать:
— Работать с несколькими командами разработки по вопросам безопасности приложений
— Анализировать бизнес-требования и их влияние на security
— Делать threat modeling для сервисов и приложений, предлагать меры защиты
— Проводить security review архитектуры, кода и релизов
— Контролировать устранение уязвимостей вместе с разработчиками
— Взаимодействовать с DevSecOps по внедрению security-сканеров в CI/CD

Что важно:
— Опыт в application security от 2-х лет.
— Понимание OWASP Top 10 / OWASP Mobile Top 10 / CWE Top 25
— Знание стандартов app security (OWASP ASVS, WSTG и т.д.) и умение применять их на практике
— Понимание инфраструктуры, контейнеризации и связанных security-рисков
— Опыт работы с микросервисной архитектурой и её защитой
— Опыт разработки на Go / Python / JS - большой плюс

Контакты: @AlesyaPS

DevSecOps / Security Platform Engineer

Salary: from $5K

We’re looking for a hands-on DevSecOps / Security Platform Engineer to build and own security infrastructure in regulated environments. This is not a policy-only role — you’ll implement real controls that pass HIPAA, SOC 2, and SAMA CRFR audits.

What you’ll do:
Build SIEM/logging, EDR/XDR, alerting & detection
Secure IAM (RBAC, MFA, JML automation)
Implement audit-ready controls & automate evidence
Integrate security into CI/CD (SAST, SCA, secrets, IaC)
Handle incident response & cloud security
Work with AWS/Azure (US) and Huawei Cloud (KSA)

What we’re looking for:
6–10+ years in DevSecOps / Security Engineering
Strong hands-on cloud, IAM, network & CI/CD security
Experience with HIPAA, SOC 2, or regulated environments
Builder mindset (implementation > paperwork)

Why join:
Own security end-to-end, work with regulators & enterprises, build a real security platform.

Contact: @mukhser