Ведущий инженер ИТ безопасности / DevSecOps / AppSec engineer

5Post — бизнес X5 Group, развивающий услуги доставки заказов из интернет-магазинов и маркетплейсов в пункты выдачи заказов и постаматы в магазинах «Пятерочка» и «Перекресток». Обязанности: Проведение регулярного анализа безопасности приложений с помощью ручных и автоматизированных средств, выявление уязвимостей, составление отчетов и разработка рекомендаций для устранения уязвимостей; Интегрирование мер безопасности в каждый этап жизненного цикла разработки (SDLC), включая проектирование, разработку, тестирование и развертывание; Проведение статического (SAST) и динамического (DAST) для анализа кода и поведения приложений; Автоматизация процессов тестирования безопасности с помощью инструментов и скриптов для ускорения выявления и устранения уязвимостей; Проведение оценки безопасности сторонних библиотек, компонентов и сервисов, используемых в разработке приложений, для предотвращения возможных угроз; Анализ артефактов с автоматизированных средств тестирования информационной безопасности; Взаимодействие с командой разработки для устранения уязвимостей, внедрения исправлений и улучшений безопасности; Обеспечение соблюдения внутренних и внешних стандартов безопасности, таких как ГОСТ Р 56939-2024, OWASP, NIST и поддерживание соответствия требованиям внутренних нормативных документов и регуляторов ФСТЭК; Внедрение процессов и методик безопасного программирования (Secure Coding) для команд разработки; Анализ текущих и новых угроз, отслеживание трендов в сфере кибербезопасности и предложение проактивных мер защиты для проектов; Участие в расследовании инцидентов, связанных с курируемыми продуктами/проектами. Требования: Высшее профессиональное образование в области информационной безопасности; Не менее 6 лет опыта работы в сфере разработки и поставки ПО; Глубокое понимание киберугроз и уязвимостей приложений (SQL Injection, XSS, CSRF, XXE и др.) и методов их предотвращения; Знание ключевых стандартов безопасности, таких как OWASP Top 10, CWE/SANS Top 25, моделей угроз и методологий, например STRIDE; Знание методов статического (SAST), динамического (DAST) и интерактивного анализа (IAST) безопасности и инструментов для их реализации; Опыт работы с инструментами анализа безопасности, такими как Burp Suite, OWASP ZAP, Solar App-screener, PTAI, BlackBox и др; Понимание этапов разработки, их влияния на безопасность и принципов AppSec; Знание процессов CI/CD и принципов интеграции мер безопасности на каждом этапе разработки; Знание стандартов и требований безопасности для соблюдения регуляторных норм (ГОСТ Р 56939-2024, GDPR, PCI DSS, HIPAA, ISO 27001 и др.). Умение проводить статический, динамический и интерактивный анализ кода и конфигураций для обнаружения уязвимостей; Навыки внедрения мер безопасности в процессы разработки и CI/CD с учетом AppSec и DevSecOps принципов, понимание принципов виртуализации и контейнеризации ( Docker, Kubernetes); Знание языков программирования (например, Python, Java, JavaScript, C#) и принципов безопасного программирования (Secure Coding); Опыт проведения аудитов безопасности, анализа рисков и тестирования на проникновение для выявления потенциальных уязвимостей; Опыт тестирования Android/iOS приложений (знание MASTG). Условия: Работа в динамично развивающемся бизнесе 5Post - интересные задачи и возможности для профессионального роста; Мотивация: оклад + годовой бонус; График работы: 5/2 с 9.00-18.15; в пятницу сокращенный рабочий день (гибрид - 3 дня офиса/2 дня удаленки); Место работы - м. Волгоградский проспект (от метро 5 минут на корпоративном автобусе), МЦД Калитники (7 минут пешком); Бесплатная парковка; Современный офис с развитой инфраструктурой - зоны отдыха, спортивные площадки, столовая, кофейни, магазин "Перекресток", врач на территории; Пакет ДМС, включая выезд за рубеж и стоматологию, страхование жизни и здоровья (после прохождения испытательного срока); Возможность учиться и развиваться за счёт компании: внешние тренинги и семинары по профессиональным тематикам, участие в крупнейших конференциях страны, программы развития цифровых и управленческих навыков, онлайн и офлайн мастер-классы, корпоративный университет «X5 Полка», школа наставников и многое другое; Скидки в экосистеме бизнесов Х5 («Пятёрочка», «Перекрёсток», «Много лосося», «Перекресток Впрок»). Программа привилегий Prime-zone (скидки на товары и услуги и специальные предложения от компаний-партнёров).