Обязанности:
Мы — Центр биометрических технологий, технологический лидер в области биометрических решений и один из ключевых игроков рынка информационной безопасности. Мы создаём и развиваем высоконагруженные, отказоустойчивые государственные сервисы, где безопасность архитектуры и кода стоят на первом месте. В связи с масштабированием направления безопасной разработки мы открываем новую позицию. Чем предстоит заниматься Вы станете частью команды AppSec/DevSecOps и будете напрямую влиять на безопасность конечных продуктов. Ключевой фокус — построение и автоматизация процессов безопасной разработки (Secure SDLC) и анализ защищённости приложений. Анализ кода и архитектуры проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов; разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей; участвовать в проработке и согласовании архитектуры приложений с точки зрения ИБ: проводить Threat Modeling (STRIDE, OWASP), выявлять архитектурные недостатки и аргументированно защищать свою экспертизу перед командами разработки; выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP. Автоматизация и CI/CD внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM; интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Golang или Bash; разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep); Процессы выстраивать и поддерживать процесс управления секретами; разрабатывать внутренние нормативные документы и стандарты безопасной разработки; консультировать IT-команды по вопросам написания безопасного кода и устранения уязвимостей; валидировать отчёты, поступающие по программам Bug Bounty, и сопровождать их отработку. Подчинение руководителю направления безопасной разработки и архитектуры приложений. На начальном этапе подчинённых нет, но, по мере роста экспертизы, предусмотрен рост до позиции Старшего инженера. Требования: высшее образование в сфере информационной безопасности; опыт работы инженером AppSec или DevSecOps от 2 лет; практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM; опыт работы с DAST (OWASP ZAP или аналогами); знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Golang, Python, JavaScript/TypeScript); опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management; глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения; понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups); опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD. Будет преимуществом: наличие отраслевых сертификатов (OSCP, OSWE, GWAPT, CISSP и др.); опыт обеспечения безопасности контейнерных сред и оркестрации (Docker, Kubernetes); навыки ручного тестирования защищённости (пентест) и проведения фаззинга; знание и понимание применимости eBPF для задач безопасности. Условия: официальный доход - оклад + бонус квартальный и годовой; условия с успешным кандидатом готовы обсуждать индивидуально; ДМС со стоматологией и международная страховка; кафетерий льгот (компенсация ОСАГО, спортивного инвентаря, ДМС близким родственникам и многое другое); гибридный график работы; офис находится в центре в шаговой доступности от ст. м. Новокузнецкая; заряженная команда полного цикла; возможность профессионального и карьерного роста.Похожие вакансии
Инженер по безопасной разработке (AppSec)
Договорная
Москва. Станции метро: Новокузнецкая
Честный знак.рф
Инженер по безопасной разработке / DevSecOps
Договорная
Москва. Станции метро: Новокузнецкая
Spice IT
Инженер по безопасной разработке / DevSecOps
Договорная
Москва. Станции метро: Новокузнецкая
Spice IT
Специалист по безопасной разработке (AppSec)
Договорная
Москва. Станции метро: Новокузнецкая
BI.ZONE
Инженер по безопасной разработке / DevSecOps специалист
Договорная
Москва. Станции метро: Новокузнецкая
М.Видео-Эльдорадо