Application Security Engineer / DevSecOps

Ваши задачи

• Внедрять/развивать текущие процессы безопасной разработки ПО в продуктах.
• Технический анализ на этапах разработки/доработки/внедрения/эксплуатации программного обеспечения (Security by Design).
• Определять требования Gitflow.
• Внедрять SAST-решения.
• Внедрять Secrets Detection-решения.
• Внедрять SCA-решения.
• Внедрять DAST-решения.
• Внедрять сканирование Dockerfiles, Docker Images.
• Внедрять средство агрегации уязвимостей.
• Проводить Security Review перед публикацией сервиса.
• Внедрять процессы Security Quality Gates.
• Реализовывать процесс Secret Management.
• Реализовывать процесс Vulnerability Management.

Наши ожидания

• Поиск и устранение уязвимостей из OWASP Top 10 (не только для веб-приложений).
• Опыт построения процессов SSDLC.
• Опыт работы от 2 лет.

• Опыт работы с одним из инструментов:

  • SAST: SonarQube, Semgrep.
  • Secrets detection: TruffleHog, Gitleaks.
  • SCA: Dependency Track, Dependency Check, OWASP dep-scan.
  • DAST: OWASP ZAP, Burp Suite.

Желательно

• Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике.

Условия

• Удобный график и формат работы — гибкое начало/окончание рабочего дня/гибрид/удаленно (на территории России).
• Медицинская страховка (стоматология, стационарное лечение, амбулаторное лечение, страхование родственников по корпоративной программе) и др.