Application Security Engineer / Penetration Tester

$$$
🪖 DefTech Product

Ми шукаємо талановитого та вмотивованого Security Engineer / Pentester, який допоможе нашій команді будувати безпечний продукт, знаходити вразливості до того, як це зроблять зловмисники, та впроваджувати найкращі практики DevSecOps та SSDLC. 

Обов'язки:
 

  • Проведення пентестів: Регулярне тестування на проникнення (Black Box, Grey Box, White Box) для веб-додатків, застосунків, API-технологій та інфраструктури. 
  • Аудит за стандартами: Оцінка безпеки застосунків на відповідність стандарту OWASP ASVS (Level 1–3). 
  • Автоматизація та аналіз (ASST/SAST/DAST): Налаштування та використання інструментів автоматичного сканування коду та валідація їхніх результатів (відсіювання False Positives). 
  • Аналіз бізнес-логіки: Мануальний аналіз, рев’ю та пошук архітектурних вразливостей різної складності та помилок у логіці застосунків. 
  • Звітність та взаємодія: Складання детальних технічних звітів за результатами тестування (оцінка ризиків за шкалою CVSS v3/v4) та надання чітких рекомендацій розробникам щодо виправлення багів (Remediation). 
  • Моделювання загроз: Участь у процесах Threat Modeling на ранніх етапах проєктування функціональних можливостей застосунків. 

Вимоги:

  • Досвід роботи: Від 3+ років у сфері безпеки застосунків або\та тестів на проникнення. 
  • Знання стандартів: Глибоке розуміння методологій OWASP Top 10, OWASP WSTG, ASVS, CWE,SSDLC (NIST SSDF). 
  • Використання інструментарів: Експертне знання Burp Suite Pro, OWASP ZAP, Nmap, Metasploit, SQLmap, Nessus/Acunetix тощо. 
  • Розуміння архітектури: Досвід роботи з мікросервісною архітектурою, REST API, GraphQL, контейнеризацією (Docker, Kubernetes) та хмарними безпековими практиками (AWS / Azure / GCP). 
  • Аналіз коду: Поглиблений досвід читання та аналізу вихідного коду на предмет наявності вразливостей (бажано знання однієї або кількох мов: [впишіть стек проекту, наприклад: Java / Node.js / .NET / Python]). 
  • Автоматизація: Навички написання скриптів для автоматизації рутинних завдань безпеки (Python, Bash або Go). 

Буде плюсом:  

  • Наявність профільних сертифікатів: OSCP, OSWE, eWPT, CEH або CISSP. 
  • Досвід інтеграції інструментів безпеки в CI/CD конвеєри (GitLab CI, GitHub Actions, Jenkins). 
  • Досвід участі у програмах Bug Bounty, Catch the Flag/Hackathons.  
  • Конструктивний підхід: Вміння не просто «знайти дірку», а аргументовано та без токсичності пояснити команді розробки, чому це небезпечно і як це виправити. 
  • Аналітичний склад розуму, уважність до деталей та здатність думати як зловмисник (adversarial mindset). 

 Що ми пропонуємо:  

  •  Можливість бронювання, офіційне працевлаштування
    Масштаб та вплив: Можливість працювати над ТОП-1 ІТ проєктами в Україні. Ваш внесок у безпеку продукту впливатиме на мільйони користувачів та захист національної цифрової інфраструктури. 

Required domain experience

GovTech 6 months

Required languages

English A2 - Elementary
Ukrainian C1 - Advanced
Published 1 July
10 views
·
0 applications
Last responded 5 hours ago
To apply for this and other jobs on Djinni login or signup.
Loading...