AppSec / DevSecOps

Департамент корпоративных систем ЛАНИТ — это команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ». Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений.

Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду! Мы не занимаемся «формальным комплаенсом ради галочки», а создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов и пайплайны, которые действительно помогают бизнесу и делают продукты более конкурентоспособными.

Как мы работаем

• Автоматизируем всё, что можно: от конвейеров и Golden Repository до ботов, которые предлагают фиксы прямо в GitLab.
• Собираем метрики и оцениваем эффективность процессов, а также их влияние на проекты с учётом найденных уязвимостей.
• Оцениваем риски, связанные с бизнес-логикой приложений, и демонстрируем бизнесу ценность работы в области информационной безопасности.
• Обучаем сотрудников инструментам и навыкам, которые помогают расти как в глубину, так и в ширину, развивая смежные компетенции.
• У каждого инженера есть индивидуальный план развития.
• Управляем своим backlog и выстраиваем эффективное взаимодействие как внутри команды, так и с заказчиками.

Что предстоит делать

• Внедрять практики security by design в продуктовые команды.
• Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker).
• Реализовывать security и quality gates, secret management и vulnerability management.
• Писать и кастомизировать тесты для CI.
• Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative.
• Интегрировать технические решения для использования сценариев Golden Repository.
• Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo.
• Подготавливать и анализировать метрики для контроля поставок кода на базе VMP.
• Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры.
• Проводить security code review сервисов перед релизом.
• Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов.

Что мы ждём от вас

• Умение находить и устранять уязвимости из OWASP Top 10 (не только веб).
• Опыт работы с одним из инструментов: SonarQube, Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck.
• Понимание принципов построения SSDLC.
• Навыки работы с PoC для доказательной базы.
• Опыт автоматизации процессов через API (например, с использованием Swagger).
• Опыт внедрения процедур безопасной разработки.
• Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др.
• Умение работать с конфигурациями на YAML и писать сценарии.
• Знание архитектурных паттернов.
• Понимание сетей и интеграции инструментов безопасности в SDLC.

Будет плюсом

• Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике.
• Понимание принципов STLC.
• Знание работы веб-серверов (Nginx, Apache).
• Знание протоколов MQTT, CoAP.
• Опыт работы с песочницами.
• Навыки разработки, анализа чужого кода и проведения security code review.
• Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580.

Мы предлагаем:

• Удобный график и формат работы – гибкое начало/окончание рабочего дня/гибрид/удаленно (на территории России).
• Медицинская страховка (стоматология, стационарное лечение, амбулаторное лечение, страхование родственников по корпоративной программе).
• Техническое комьюнити – цикл мероприятий по обмену опытом и прокачке скиллов на площадке ЛАНИТ и у внешних провайдеров.
• Активности: киберспорт, спортивные секции.
• Корпоративные скидки на посещение фитнес-центра в офисе, компенсация затрат на спорт - программа вовлеченности.
• Скидки в магазинах-партнерах, входящих в Inventive Retail Group.
• Являемся аккредитованной ИТ-компанией.