Обязанности:
СберАвто — уникальный для российского рынка сервис для выбора, покупки и доставки автомобилей онлайн. В СберАвто можно подобрать автомобиль, заказать независимый осмотр автомобиля и доставку авто прямо к дому, а также оформить кредит и страховку онлайн. И все это – не выходя из дома, с помощью нескольких сообщений в чате с личным помощником. Наша миссия – превратить покупку автомобиля в простой, быстрый и безопасный процесс; стать единой точкой входа по всем вопросам, связанным с покупкой авто – от его выбора, проверки и покупки до страхования, оформления кредита и доставки в любой регион России. Вам предстоит: Ручной анализ точек входа в приложение и анализ защищенности , проведение работ по анализу безопасности сервисов Проведение код-ревью Тюнинг {S,D,I}AST и RASP Vulnerability management (в части SSDLC) Анализ зависимостей (OSA / SCA) Контроль за соблюдением Security Requirements Оптимизация правил WAF Шаринг знаний с Ops/DevOps Коллаборация с продуктовыми командами в области безопасности приложений, включая моделирование угроз, работы по устранению уязвимостей и обзоры рекомендаций по безопасности приложений Разработка автоматизаций тестирования, реализация регресс тестов по КБ Поддержка программы Bug Bounty (триаж найденных уязвимостей) Поддержка подготовки релизов по безопасности Наши ожидания: Опыт работы на аналогичной позиции (или с аналогичным функционалом) не менее года Знание основных видов уязвимостей веб-приложений и методов их устранения Знание стандартов OWASP ASVS и WSTG Знание и опыт применения основных инструментов для анализа уязвимости веб-приложений, владение навыками ручного и автоматизированного тестирования безопасности веб-приложений с помощью инструментов {S,D,I}AST Понимание принципов безопасной разработки ПО Владение одним из языков программирования Умение работать в командной строке и базовые знания Linux Английский язык на уровне чтения документации Знание и способность объяснить распространенные недостатки безопасности приложений и способы их устранения (например, OWASP Top 10 (App/Web/Api)) Будет преимуществом: Опыт участия в CTF и BugBounty Понимание принципов SSDLC и DevSecOps Понимание стандартов MASVS и MSTG Умение логично, точно, связанно и аргументированно излагать свои мысли и идеи Базовый опыт и навыки разработки сценариев для тестирования предпочтительны Python, Go Мы предлагаем: Участие в амбициозном проекте экосистемы Сбер Работу в команде профессионалов, реализацию идей по улучшению сервиса Интересные и амбициозные задачи Достойный уровень ежемесячного дохода ДМС + Стоматология Полное соблюдение ТК РФ Материальную поддержку: у нас принято финансово помогать при рождении ребенка или в сложной жизненной ситуации Скидки на фитнес, английский язык Оборудование и другие ресурсы