Обязанности:
Мы - Right Line, российская ИТ-компания, работающая с 2017 года. Мы разрабатываем решения для банков и финансовых компаний. Наша команда стала первым сертифицированным вендором решения для Системы Быстрых Платежей в России, начавшей подключать российские банки к этой системе, опередив крупных ИТ-гигантов. Первым подключенным клиентом стал Т-Банк, участвовавший в пилотном проекте. Также, мы запустили сервис трансграничных переводов по номеру телефона прямо из банковского приложения. А еще мы активно участвуем в проекте “Цифровой рубль” и на базе нашего решения уже проходят первые операции с новой формой национальной валюты! Мы продолжаем расти, развивать новые направления и формировать команду профессиональными коллегами, которые, как и мы, хотят добиваться крутых результатов. Мы развиваем практики безопасной разработки для внутренних продуктов компании и ищем Инженера по безопасности приложений, который поможет встроить безопасность во все этапы SDLC – от проектирования и разработки до эксплуатации. Чем предстоит заниматься: Проводить проверки приложений и сервисов на наличие уязвимостей (SAST, SCA, DAST, обнаружение секретов, фаззинг), готовить POC‑эксплуатации и понятные отчёты для команд; Проводить триаж уязвимостей: оценка риска и влияния, приоритизация, постановка задач на исправление, контроль сроков и качества устранения уязвимостей; Участвовать в проектировании: проводить моделирование угроз (например, STRIDE), ревью архитектуры по безопасности и дизайн‑решений, формулировать требования к аутентификации, авторизации, шифрованию и журналированию; Развивать SSDLC и DevSecOps: определять и внедрять контроли по безопасности на этапах требований, дизайна, разработки, тестирования и эксплуатации, настраивать гейты безопасности в GitLab CI/CD; Сопровождать и развивать AppSec‑инструменты: интеграция сканеров в конвейер разработки, настройка политик, исключений и отчётности, участие в выборе и пилотах новых решений; Участвовать в аудитах безопасности сервисов и разборах инцидентов: анализ причин, выработка устойчивых мер, предотвращающих повторное возникновение уязвимостей целого класса; Консультировать команды разработки и архитекторов по вопросам безопасной разработки, разбору и устранению уязвимостей, шаблонам безопасного кодирования; Проводить тренинги, воркшопы и семинары по AppSec (OWASP Top 10 / API Security, безопасная аутентификация и управление сессиями, защита API и интеграций и т.п.); Исследовать новые векторы атак и тренды в AppSec, предлагать улучшения процессов и инструментов. Что мы ожидаем от кандидата: Высшее техническое образование (желательно профильное ИБ или практический опыт в разработке/безопасности приложений); Опыт работы в роли инженера по безопасности приложений от 3 лет, участие в реальных проектах по защите веб‑ или API‑сервисов в продакшене; Практический опыт внедрения и эксплуатации инструментов:SAST, SCA, DAST, фаззинг, поиск секретов. Интеграция этих инструментов в CI/CD (желательно GitLab CI/CD); Опыт работы с Docker, Kubernetes, GitLab (или аналогичными системами контроля версий и CI/CD); Умение проводить ревью кода с фокусом на безопасность, давать разработчикам понятные и практичные рекомендации; Владение одним из языков программирования (Python / Go / Bash); Глубокое понимание причин возникновения и способов эксплуатации уязвимостей из OWASP Top 10 и OWASP API Security, а также практического устранения этих проблем; Навыки общения: умение объяснить сложные технические риски понятным языком, договариваться о приоритетах, конструктивно отстаивать позицию безопасности. Будет плюсом: Опыт участия в построении или развитии практик безопасного кодирования SDLC / AppSec / DevSecOps в компании (описание процессов, политик, стандартов безопасное кодирование, матриц угроз); Опыт проведения моделирования угроз с командами разработки, ревью архитектур, работы с высоконагруженными и распределёнными системами; Опыт взаимодействия с аудитами, заказчиками и регуляторами, подготовки доказательной базы по соответствию требованиям (ГОСТ Р 56939‑2024, ГОСТ Р 57580, OWASP SAMM, PCI SSF, ISO/IEC, NIST SSDF); Опыт работы в роли тимлида или технического лидера в области ИБ или разработки; Наличие профессиональных сертификаций (например, CSSLP, GWAPT, OSWE/OSCP, eWPT, eWPTX и др.); Опыт участия в баг баунти / CVD‑программах, публичных докладах/статьях по AppSec. Преимущества работы в нашей команде: Официальное оформление в штат с первого рабочего дня, все по ТК РФ; Работа в аккредитованной ИТ-компании, отсрочка от мобилизации и другие приятные бонусы; Удаленный формат работы, либо работа в гибридном формате в офисе (Москва, (ул. Большая Тульская, 11) в бизнес-центре класса “А” рядомс м.Тульская, в котором обязательно есть кофе, чай, фрукты, бутерброды, печеньки, а главное – классные коллеги, с которыми всегда есть, что обсудить:); Конкурентная заработная плата; Амбициозные проекты (нашими разработками уже пользуются миллионы людей); ДМС, подарок на день рождения, крпоративный английский; Корпоративные мероприятия (офлайн и онлайн), пятничные киносеансы и настолки, экскурсии, спортивные активности; Свобода в принятии решений и большая перспектива быстрого карьерного роста.Похожие вакансии
Инженер по безопасности приложений
Договорная
Москва. Станции метро: Тульская
Система Безопасных Коммуникаций
Инженер по безопасности приложений
От 190 000 руб.
Москва. Станции метро: Тульская
Сбербанк России, ПАО
Инженер по безопасности приложений (AppSec / DevSecOps)
Договорная
Москва. Станции метро: Тульская
EdgeЦентр