Обязанности:
Что такое AppSecPlatform? AppSecPlatform – AppSec-платформа, которая помогает оптимизировать процессы безопасной разработки. Если просто, то результаты, получаемые от *AST (SCA, SAST, DAST и т.д.) сканеров попадают в «AppSecPlatform» и AppSec специалист работает с ними уже там. Он делает разметку, взаимодействует с разработчиками через комментарии, ставит задачи в Jira, работает с дашбордами и т.д. – т.е. все то, что он делал с «отдельно взятым сканером», но уже централизованно. Система интересная, сложная, всегда есть «что поделать» и «что улучшить». Уверен, что тебе не будет скучно с нами при разработке «AppSecPlatform»! Что мы хотим сделать? Если обобщить, то все максимально просто. Мы хотим сделать самую удобную и функциональную AppSec-платформу, которой будет удобно пользоваться как AppSec-специалистам, так и разработчикам. Такой вот инструмент, где все под рукой. Все понятно. Ничего лишнего. И все максимально просто и удобно для пользователя. Одним словом, мы хотим сделать «AppSecPlatform» - лучшего друга AppSec-специалистов! Кого нам не хватает? AppSec: Research & Integration Что нужно будет делать: Работа предполагает совмещение двух областей деятельности – research and development и инженерную деятельность. R’n’d необходим для расширения и улучшения функционала разрабатываемого Продукта – AppSecPlatform. Инженерная деятельность связана с помощью (потенциальным) Заказчикам при проведении работ, связанных с «AppSecPlatform» – от пилотирования до внедрения. Эксплуатационная часть не рассматривается. Таким образом в нашу команду нужен специалист, который будет поддерживать развитие «AppSecPlatform» не только «изнутри», но и «вовне». Чем предстоит заниматься: 1. R&D-активности Помогать команде разработки по вопросам, связанным с логикой работы различных *AST-сканеров и нюансами их работы (например, API-возможности сканера, возможные форматы предоставления результатов, особенности работы сканеров, их ограничения и т.д.) Помогать команде разработки по вопросам, связанным с Application Security (например, расшифровка требований ASVS, пояснения по различным форматам данных – SBOM, SARIF и т.д.) Объяснять команде разработки логику работы *AST-сканеров (верхнеуровнево) Продумывать вместе с командой логику работы отдельно взятых функций «AppSecPlatform». Например: оптимизация процесса дедупликации ИБ-дефектов тонкости, связанные с анализом отдельно взятых языков программирования возможные способы применения ML/AI для задач, решаемых «AppSecPlatform» составлять справочники по типам уязвимостей, используемые при нормализации данных, получаемых от сканеров и т.д. Взаимодействовать с разработчиками при устранении багов и реализации новых фич Тестировать новые сканеры, которые будут добавляться в «AppSecPlatform» Генерировать идеи для улучшения как визуального, так и функционального наполнения «AppSecPlatform» (опционально) 2. Инженерная деятельность Проводить демонстрации «AppSecPlatform» (опционально) Следить за тем, чтобы demo-стенд всегда был доступен и функционален (в дни демонстраций) Проводить пилоты «AppSecPlatform»: Определять критерии успешности пилота (совместно с PO) Устанавливать (оказывать помощь при установке) AppSecPlatform в ИТ-инфраструктуре Заказчика Проводить испытания Демонстрировать полученные результаты (совместно с PO) Консультировать Заказчика по всем вопросам, возникающим при проведении пилота (своевременное) Формировать и предоставлять обратную связь по результатам пилота команде разработки Оказывать содействие при presale-активностях Помогать PO заполнять необходимую для Заказчиков информации, связанную с устройством и логикой работы «AppSecPlatform» (по части технической реализации) Реализовывать проекты по внедрению «AppSecPlatform»: Разрабатывать варианты архитектурных решений при внедрении «AppSecPlatform» Участвовать в проведении переговоров с Заказчиками (техническая часть) Участвовать в реализации проектов по внедрению «AppSecPlatform» (от проектирования до внедрения) Подготавливать необходимую документацию для Заказчика Демонстрировать результаты проекта Заказчику (совместно с PO) Консультировать Заказчика по всем вопросам, возникающим при реализации проекта (своевременное) Вы наш кандидат, если у вас есть: Опыт работы Application Security инженером от двух лет. Хорошее знание веб-технологий Опыт работы с Linux (работа с файлами, ssh, systemctl, стандартные команды обработки логов и т.д.) Понимание принципов работы современных веб-приложений, микросервисной архитектуры Практический опыт работы с *AST-сканерами различных классов (SCA, SAST, DAST, Container Security и т.д.). Фокус на отечественные решения и open source Практический опыт работы с Git, VCS, CI, Issue Trackers системами Практический опыт интеграции *AST-сканеров с окружением разработки (IDE, VCS, Issue Trackers и т.д.) Знание технологий контейнеризации (Docker, Kubernetes): запуск контейнеров, поиск ошибок при запуске, устранение ошибок Понимание принципов работы вышеуказанных сканеров, умение объяснять их Знание различных стандартов и методологий в области безопасной разработки (OWASP Top-10 (Web, API), CWE Top-25, ASVS, NIST и т.д.) Успешный опыт ведения пилотов, проектов в инфраструктуре Заказчика Знание английского языка на техническом уровне Будет плюсом: Навыки написания утилит для автоматизации на каком-либо языке программирования (Python, Golang и т.д.) Практический опыт анализа приложений, опыт в разметке срабатываний *AST-сканеров Практический опыт использования наиболее распространенных техник эксплуатации Желание разбираться в технологиях Опыт работы с API различных сканеров Почему мы: Интересные, сложные и масштабные проекты по ИБ по всем направлениям – он консалтинга до оказания ИБ-сервисов Работу в команде крутых экспертов, которые помогут разобраться в любой теме или найти ответ на любой вопрос Возможность поработать со всеми наиболее часто используемыми средствами защиты информации на практике Помощь в развитии не только hard skills, но и soft Оформление по ТК РФ Возможность удаленной работы Заработную плату по результатам собеседования + премии по итогам работы и другие способы мотивации Похожие вакансии