Обязанности:
О компании Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка. Наша команда: более 900 сотрудников Мы предлагает своим сотрудникам разнообразные стек технологий и области применения. Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды. Рабочие задачи: Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST); Проводить тонкую настройку инструментов и формировать пользовательские правила; Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила; Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний; Формировать рекомендации по устранению недостатков и защите приложений; Взаимодействовать с командами разработки по согласованию технического долга. Ваш опыт, навыки и личные качества: Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов. Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии. Понимание сетевой модели OSI, знание основных протоколов. Понимание того как должна быть устроена безопасная разработка. Знакомство с ГОСТ 56939. Знание особенностей веб разработки и меры по обеспечению ее безопасности. Знакомство с OWASP Top 10, ASVS, WSTG, MASTG. Понимание способов популярных атак на веб-приложения. Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0); Опыт разработки на языках программирования высокого уровня. Умение разбираться в чужом исходном коде. Понимание того как устроена современная разработка. Знакомство с системами контроля версий. Умение работать с Git. Понимание того как происходит сборка приложений. Знакомство с популярными сборщиками Gradle, Maven. Опыт работы с инструментами статического анализа кода (SAST). Опыт работы с инструментами анализа открытого ПО (OSA/SCA). Понимание SBOM. Опыт работы с инструментами динамического анализа веб приложений (DAST). Умение проходить лабораторные работы на Portswigger. Понимание основных принципов обеспечения безопасности REST API. Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность. Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based). Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости. Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения. Мы предлагаем: Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования). Высокий профессионализм коллег и адекватное руководство. Официальное трудоустройство. Возможность работать дистанционно из любого города (по московскому времени). 5-дневная рабочая неделя. Качественное обучение по платформе и процессам компании. У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется. Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.Специалист по безопасной разработке (Application security, DevSecOps)
От 300 000 до 350 000 руб.
Москва
Актив