Детали вакансии

Инженер по безопасности приложений в Сбер. Опыт от 3-х лет. Зарплата обсуждается на собеседовании. Локация: Москва. Обязанности включают развитие инструментов проверки безопасности приложений, встроенных в процесс разработки.

• Развивать инструменты проверки безопасности приложений, встроенные в процесс разработки. • Разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для различных классов задач: анализ исходного кода, зависимостей, секретов, API и других артефактов разработки. • Проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки. • Разрабатывать и поддерживать правила и автоматизацию для практик SAST, SCA, DAST, MAST и смежных направлений. • Интегрировать инструменты безопасности в secure SDLC и CI/CD так, чтобы они были полезны разработчикам и не создавали лишних затруднений в работе. • Проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений на ранних этапах. • Валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости по уровню технических и бизнес-рисков для настройки правил и автоматизации. • Помогать командам разработки устранять уязвимости: объяснять причины, риски и варианты исправления понятным инженерным языком. • Искать точки, где ручную экспертизу можно превратить в автоматизированную проверку. • Участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений в зависимости от потребностей команды и компании.

• Практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки программного обеспечения с заметным переходом в направление безопасности. • Уверенное владение хотя бы одним языком программирования для разработки и автоматизации: Python/Go/Java будут преимуществом. • Понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки. • Опыт работы с инструментами и подходами из областей SAST/SCA/secret scanning/API. • Опыт интеграции проверок безопасности в CI/CD. • Практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей хотя бы для части из следующих стеков: Java, Go, Python, JavaScript/TypeScript, PHP, C/C++. • Хорошее понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API. • Понимание современных архитектур: микросервисы, REST/gRPC, Kubernetes, контейнеризация. • Умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить его до рабочего результата.