Обязанности:
Цитадель - российская инновационная аккредитованная IT-компания. Мы занимаемся разработкой комплексных решений СОРМ для сбора всех видов данных на сетях мобильных и фиксированных операторов связи: голосового трафика, трафика передачи данных, статистических данных и служебной информации. Мы интенсивно растем, развиваемся и ищем новых специалистов в нашу команду! Чем предстоит заниматься: Проектирование и внедрение Secure SDLC для ПАК; Определение обязательных артефактов: требования по ИБ, модели угроз (в связке с архитектором ИБ), отчёты сканирований, протоколы разбора уязвимостей, критерии "готовности к поставке"; Встраивание контрольных точек в проектный контур (PMO/stage-gate) и в инженерные практики (PR/CI); Организация практик и правил: SAST/сканирование зависимостей (SCA), secret scanning, базовые проверки конфигураций/Infrastructure-as-Code; Настройка процесса разбора уязвимостей: приоритизация, SLA на исправление по критичности и типам ПАК, контроль повторяемости дефектов; Управление бэклогом уязвимостей совместно с командами разработки; Запуск и развитие сети Security Champions в командах разработки/тестирования/сборки; Обучение: безопасной разработки, типовые ошибки, практики безопасной разработки и тестирования, "как читать результаты сканеров"; Участие в разборе уязвимостей продукта и внесение улучшений в SDLC. Что мы ждем от Вас: Опыт в AppSec / Secure SDLC: построение процессов, внедрение практик в команды разработки; Уверенное понимание: OWASP Top 10, безопасной разработки, модели угроз на прикладном уровне, типовые классы уязвимостей (auth/authz, инъекции, SSRF, deserialization, IDOR и т.д.); Практический опыт внедрения/эксплуатации классов инструментов: SAST, SCA, DAST, secret scanning; Опыт организации процесса управления уязвимостями: разбор, SLA, отчётность, исключения; Умение выстраивать взаимодействие с разработкой. Будет плюсом: Опыт в компаниях, поставляющих “под ключ” решения (ПАК, on-prem, закрытые контуры); Опыт с SBOM/контролем состава ПО, secure supply chain практиками (на уровне процесса); Опыт проведения/заказа пентестов, организации регрессионных тестов безопасности; Опыт работы в условиях ограничений по выбору иностранных решений (open source/рынок РФ). Критерии успеха (первые 3 месяца): Запущены и работают контрольные точки в проектах (минимум на приоритетных типах ПАК); Покрытие сканирований (SAST/SCA/secret scanning) — стабильно по большинству репозиториев/сборок; Налажен разбор уязвимостей + SLA на исправления; снижается доля критичных находок на поздних этапах; Сформирована сеть champions и базовая программа обучения.Похожие вакансии
Инженер по безопасной разработке / AppSec
Договорная
Москва. Станции метро: Дмитровская, Бутырская
MANGO OFFICE
Инженер по безопасной разработке (AppSec)
Договорная
Москва. Станции метро: Дмитровская, Бутырская
Честный знак.рф
Middle/Senior Менеджер по безопасной разработке (AppSec)
Договорная
Москва. Станции метро: Дмитровская, Бутырская
СБЕРКОРУС
Специалист по безопасной разработке
Договорная
Москва. Станции метро: Дмитровская, Бутырская
СалютДевайсы
Инженер по безопасной разработке
Договорная
Москва. Станции метро: Дмитровская, Бутырская
MANGO OFFICE