Главный инженер по безопасной разработке

ООО "ВиаМоби" - группа компаний, занимающихся разработкой и поддержкой мобильных сервисов для операторов связи в РФ и СНГ. Мы создаем инновационные и хорошо спроектированные продукты, которыми пользуются уже более 7 000 000 пользователей. Вместе с ростом числа пользователей увеличивается количество операторов, становящихся нашими партнерами. Полезность сервисов и удобство их использования - наши основные приоритеты. Мы расширяемся и ищем в команду главного инженера по безопасной разработке, который будет выполнять задачи по безопасной разработке, внедрять SSDLC/DevSecOps-практики, снижать риски уязвимостей в продуктах, автоматизиовать проверку безопасности в CI/CD, повышать зрелость процессов разработки и защиты приложений. Обязанности: Построение и развитие процесса безопасной разработки; Внедрение DevSecOps-практик в процессы разработки; Автоматизация проверок безопасности в CI/CD; Анализ безопасности web-приложений, backend/frontend-компонентов и REST API; Работа с уязвимостями: выявление, анализ, приоритизация, постановка задач, контроль исправления и ретест; Проведение security review архитектуры, API, механизмов авторизации, аутентификации, хранения данных и интеграций; Подбор, внедрение и сопровождение инструментов SAST, DAST, SCA, secret scanning, container scanning, IaC scanning; Анализ защищённости приложений; Формирование требований к безопасной разработке и логированию событий безопасности; Анализ событий и логов в Kibana/ELK; Подготовка документации, инструкций, чек-листов и отчётов; Консультирование разработчиков, DevOps, QA и продуктовых команд; Развитие культуры безопасной разработки в компании. Требования: Опыт в AppSec/DevSecOps/Secure SDLC; Понимание OWASP Top 10; Понимание web application security и REST API security; Опыт работы с SAST/SCA/DAST/secret scanning; Опыт внедрения проверок безопасности в CI/CD; Умение читать код и объяснять разработчикам найденные уязвимости. Понимание типовых рисков PHP, Python, Go, Vue-приложений; Понимание XSS, SSRF, IDOR, нарушение контроля доступа, небезопасная десериализация; Опыт работы с Git и GitLab/GitHub/Bitbucket; Понимание принципов безопасной аутентификации и авторизации; Умение анализировать REST API, роли, права, токены, scopes, JWT, access control; Опыт управления уязвимостями и постановки задач на исправление. Будет плюсом: Опыт внедрения SSDLC с нуля; Опыт threat modeling; Знание OWASP ASVS, OWASP SAMM, OWASP Cheat Sheets; Опыт работы с MariaDB и анализом рисков БД; Опыт работы с Kibana/ELK/OpenSearch; Опыт работы с Docker и Kubernetes; Опыт работы с Kafka, ClickHouse; Опыт с GitLab CI/CD, GitHub Actions, Jenkins, TeamCity, Bitbucket; Опыт с Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog и т.п.; Опыт написания внутренних стандартов безопасной разработки; Опыт обучения разработчиков; Желание развивать MLSecOps/AI Security-практики: безопасность ML/AI-сервисов, LLM-интеграций, prompt injection, data leakage, безопасность моделей, данных и ML-пайплайнов. Стек проекта: PHP (Laravel), Python, Go, Vue, REST API, MariaDB, Git, GitLab/GitHub/Bitbucket, GitLab CI/CD/GitHub Actions/Jenkins, Docker, Kubernetes, Kibana, ELK/OpenSearch, SAST, DAST, SCA, secret scanning, container scanning, IaC scanning, Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog, OpenAPI/Swagger, Jira, Confluence/Teamly. Условия: Официальное трудоустройство в аккредитованной ИТ компании; Удаленный формат работы с гибким началом дня; Адекватное руководство без бюрократии; Возможность участия в создании продукта для сотен тысяч пользователей; Корпоративы, подарки к праздникам; Профессиональный и карьерный рост. Стань частью команды ВиаМоби!