Страховой Брокер Сбербанка в поиске AppSec инженера!
С радостью пригласим эксперта по безопасной разработке и управлению уязвимостями присоединиться к команде с которой предстоит выстраивать процессы безлопастной разработке.
Обязанности
- Принимать участие в процессе управления уязвимостями разрабатываемых систем: проводить оценку уязвимостей, осуществлять их учет, контролировать устранение;
- Сопровождать внедрение, настройку и эксплуатацию инструментальных средств анализа кода, включая средства статического анализа исходного кода (SAST), средства динамического анализа кода (DAST), средства анализа открытого исходного кода (SCA);
- Поддерживать и дорабатывать PAM/Secret Management системы;
- Внедрять процесс и практики безопасной разработки ПО, повышать осведомленность команд разработки в вопросах кибербезопасности;
- Осуществлять подготовку требований по кибербезопасности и контролировать их соблюдение в процессе разработки ПО;
- Разрабатывать и внедрять внутренние стандарты безопасной разработки ПО;
- Принимать участие в приемо-сдаточных испытаниях разрабатываемых модулей и функций;
- Принимать участие в организации работ по тестированию на проникновение (с привлечением подрядных организаций);
- Развивать направление Vulnerability management.
Требования
- Знание языков программирования (.Net, JS, Python, PHP, 1C, ansible) и понимание принципов разработки ПО, умение читать код;
- Знание основных подходов и практик безопасной разработки DevSecOps,
- Опыт развертывания и поддержки инструментов анализа кода (SAST, DAST, OSA/SCA), включая интеграцию с CI/CDL/CDP инструментами и настройки quality gates;
- Опыт интерпретации результатов сканирования кода, определения применимости найденных уязвимостей;
- Понимание принципов работы операционных систем, компьютерных сетей, баз данных, механизмов аутентификации и авторизации, механизмов взаимодействия различных ИТ-компонент, микросервисных и облачных решений, механизмов контейнеризации и виртуализации;
- Понимание принципов работы СЗИ, таких как NGFW, SIEM, AV, WAF, PAM, DLP, DCAP, EDR, Secret Management;
- Знание основных угроз веб и мобильных приложений (OWASP TOP 10, CWE Top 25), методов защиты от них;
- Развитые коммуникативные и лидерские навыки, нацеленность на результат, ответственность, инициативность, желание развиваться самому и развивать компетенции коллег и команды;
- Знание английского языка не ниже уровня чтения технической документации.
Условия
- Гибридный формат работы (м. Парк победы);
- Льготные ипотечные условия кредитования;
- Бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров: Okko, Сбер Маркет, Мега Маркет, Самокат, Еаптека и другие;
- ДМС с первого дня и скидки на страхование для близких;
- Корпоративная пенсионная программа;
- Детский отдых и подарки за счет Компании;
- Обучение за счет Компании: онлайн курсы, неограниченный доступ к библиотеке и обучение на базе Корпоративного университета (тренинги, митапы и возможность получить новую квалификацию);
- Скидки на отдых в курортном комплексе «Mriya Resort & SPA» в Ялте