Обязанности:
Мы ищем AppSec Technical Lead — сильного hands-on эксперта по Application Security, который будет техническим лидером команды из 3 AppSec-инженеров. Вам предстоит развивать практики secure SDLC и DevSecOps, работать с SAST/SCA/DAST/MAST, развивать автоматизацию security-проверок.Вам предстоит: быть техническим лидером для команды AppSec-инженеров помогать команде принимать архитектурные и технические решения в области Application Security наставлять инженеров, помогать им развивать экспертизу в AppSec, DevSecOps, security code review и автоматизации проводить ревью технических решений, подходов к анализу уязвимостей, SAST-правил и security-автоматизаций участвовать в планировании работы команды совместно с Product Owner помогать приоритизировать задачи с учётом технических рисков, бизнес-контекста и загрузки команды быть единой точкой входа для PO продукта по вопросам AppSec: статусы, блокеры, риски, roadmap, технические ограничения и потребности команды. развивать интеграцию security-проверок в CI/CD разрабатывать и поддерживать правила для SAST-инструментов улучшать процессы работы с SAST/SCA/DAST/MAST: качество проверок, triage, отчётность, снижение false positives писать автоматизацию для интеграции сканеров, обработки результатов, обогащения находок и формирования метрик исследовать и тестировать новые инструменты проверки безопасности приложений помогать делать security-проверки более полезными для разработчиков и менее шумными для команд. Что для нас важно: опыт в Application Security от 4 лет либо сопоставимый опыт в разработке с последующим переходом в security практический опыт технического лидерства, наставничества или координации работы AppSec/security-инженеров глубокое понимание secure SDLC, shift-left security и DevSecOps практический опыт работы с SAST, SCA, DAST и/или MAST-инструментами опыт интеграции security-проверок в CI/CD опыт security code review на одном или нескольких языках: Java/Kotlin, Go, Python уверенное владение одним из языков: Python/Java/Go опыт работы с Bash глубокое понимание OWASP Top 10, OWASP ASVS и OWASP Mobile Top 10 понимание современных архитектур: микросервисы, REST/gRPC API, Kubernetes, контейнеризация опыт анализа результатов сканирования, валидации уязвимостей, поиска false positives и приоритизации рисков практический опыт взаимодействия с разработчиками по исправлению уязвимостей понимание специфики безопасности мобильных приложений опыт работы с MAST-инструментами понимание типовых рисков мобильных приложений: insecure storage, insecure communication, неправильная работа с secrets, jailbreak/root detection, reverse engineering risks, certificate pinning, tampering опыт анализа Android/iOS-приложений будет преимуществом. Мы предлагаем: комфортный современный офис офисный формат работы ежегодный пересмотр зарплаты, годовая премия корпоративный спортзал и зоны отдыха более 400 образовательных программ СберУниверситета для профессионального и карьерного развития программа адаптации и помощь руководителя на старте расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров вознаграждение за рекомендацию друзей в команду Сбера.Похожие вакансии