Вакансия в архиве
Компания больше не ищет сотрудника. Посмотрите похожие предложения
МБС
Все вакансииInformation SecurityМоскваMiddle

Специалист по безопасной разработке приложений

в МБС

от 260 000 ₽/‍мес на руки

📍 Москва (м. Тульская)
Офис или гибрид
Специализация
Information Security
Уровень
Middle
Требуемый опыт
3+ лет

Технологии/инструменты

OWASP Top 10
ASVS
WSTG
MASTG
CWE
CVE
CVSS
Go/PHP/Node.js/Java/Kotlin
JavaScript/TypeScript
MySQL
ClickHouse
Git
REST API
Postman
Swagger
Linux
Docker
Kubernetes
Terraform/Ansible
OSA/SCA
NIST
ФСТЭК
Fuzzing
SSDLC

Единая платформа для трансляции контента федеральных телеканалов в интернете. Это стратегический для отрасли проект —‍ технологическая платформа, разработанная с учётом современных высоких стандартов вещания, станет единым OTT‑сервисом для всех телекомпаний страны.

Мы — команда Витрина ТВ, образованная крупными медиахолдингами России, чтобы объединить ресурсы и разработать технологии для онлайн-трансляции телеканалов.

Мы официально обеспечиваем трансляцию каналов первого и второго мультиплексов и занимаемся всем, что связано с эфиром — от контроля качества до распространения на платформах, таких как Кинопоиск, IVI, Wink и многих других.

Проект находится в стадии активного развития и роста —‍ идет как наращивание функционала, так и подключение новых каналов и площадок. Проект гибкий, мы быстро адаптируемся под новые требования. При планировании задач для разработки мы ориентируемся на требования каналов. В рамках проекта ведется разработка нескольких продуктов:

  • Трансляционная платформа.
  • Плеер для размещения на веб-сайтах.
  • SDK для iOS и Android.
  • SDK для SmartTV.
  • Система сбора статистики и аналитики смотрения, а также система управления вещанием.

Сейчас мы активно развиваем процессы DevSecOps, и у будущего коллеги будет возможность напрямую влиять на выбор подходов и технологий.

Нам важно внедрить безопасность в каждый этап жизненного цикла разработки ПО, начиная с первых этапов проектирования и заканчивая эксплуатацией, обеспечивая тем самым безопасность и надежность разрабатываемых продуктов.

Чем тебе предстоит заниматься

  • Внедрять новые DevSecOps-практики, помогать командам разработки с применением инструментов и подходов.
  • Формировать и развивать архитектуру и культуру DevSecOps.
  • Внедрять, поддерживать и автоматизировать процессы SAST, DAST, SCA и т.д.
  • Улучшать и выводить на новые уровни безопасность автоматизации CI/CD (GitLab).
  • Участвовать в процессе pre-prod тестирования с целью выявления потенциальных уязвимостей.
  • Формировать нормативную базу по процессам безопасной разработки.
  • Принимать участие в проведении комплексных аудитов безопасности.
  • Бороться за чистоту релизов, составлять рекомендации по устранению выявленных проблем.
  • Настраивать процессы управления уязвимостями и дефектами для контейнеров.
  • Внедрять культуру безопасной разработки совместно с Security Champions.
  • Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST).
  • Проводить тонкую настройку инструментов и формировать пользовательские правила.
  • Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила.
  • Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний.
  • Формировать рекомендации по устранению недостатков и защите приложений.
  • Взаимодействовать с командами разработки по согласованию технического долга.

Для этого тебе понадобится

  • Образование в сфере информационной безопасности, информационных технологий или прикладной математики, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.
  • Понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии.
  • Знание особенностей веб разработки и меры по обеспечению ее безопасности.
  • Знакомство с OWASP Top 10, ASVS, WSTG, MASTG.
  • Понимание способов популярных атак на веб-приложения.
  • Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0).
  • Опыт разработки Go, PHP, Node.js, Java, Kotlin, использование в проектах JS, TypeScript, баз данных MySQL, ClickHouse. Умение разбираться в чужом исходном коде.
  • Опыт работы в HiLoad-проектах.
  • Понимание того, как устроена современная разработка.
  • Знакомство с системами контроля версий.
  • Умение работать с Git.
  • Понимание того, как происходит сборка приложений.
  • Опыт работы с инструментами статического анализа кода (SAST).
  • Опыт работы с инструментами анализа открытого ПО (OSA/SCA).
  • Опыт работы с инструментами динамического анализа веб приложений (DAST).
  • Понимание основных принципов обеспечения безопасности REST API.
  • Умение работать с Postman, Swagger. Опыт работы с инструментами анализа мобильных приложений на безопасность.
  • Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based).
  • Опыт работы с Docker (Compose), Kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости.
  • Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения.
  • Обладание знаниями стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, NIST, ФСТЭК и т.п.).
  • Опыт успешного внедрения SAST, SCA, DAST инструментов.
  • Наличие опыта работы с инструментальными средствами анализа уязвимостей и проверок безопасности ПО (SAST, DAST, Fuzzing, SCA/OSA и т.д.).
  • Навыки DevOps, эксплуатация и поддержка готовых CI/CD окружений (Gitlab), работа с Terraform/Ansible.
  • Понимание принципов работы Docker, Kubernetes, диагностика и поиск проблем.
  • Знание основных принципов работы современных приложений, процессов CI/CD и безопасной разработки (SSDLC/DevSecOps).
  • Понимание логики работы классов решений и их места в жизненном цикле разработки и доставки приложений.
  • Опыт нормативного обеспечения процессов SSDLC/DevSecOps.
  • Опыт работы 3-6 лет.

Работа в Витрина-ТВ — это

  • Погружение в мир масштабных проектов: у нас ты окажешься в эпицентре динамичных процессов, где каждый рабочий день становится новым вызовом для твоего роста.
  • Профессионализм и адекватность: высокий профессионализм коллег и адекватное руководство.
  • Развитие: большая команда профессионалов, готовых делиться своими знаниями и страстью к технологиям. А также внутреннее наставничество, участие во внешних конференциях и оплата профильных курсов.
  • Инженерная культура: прозрачность код-ревью, оперативное внедрение новых фичей и совершенствование существующего кода через рефакторинг.
  • Свобода: офис, удалёнка или гибрид — решать тебе.
  • Гибкий график — смотрим не на количество отработанных часов, а на результат проделанной работы. Отсутствие дресс-кода и бюрократии.
  • Забота о здоровье: после испытательного срока — расширенное ДМС со стоматологией, телемедициной, психологом. А также скидки на иные виды страхования для близких.
  • Комфорт: современный офис в пешей доступности от м. Тульская.
  • Снэк-бар в офисе — чтобы мысли о голоде не мешали работать.
  • Онбординг для новичков и команда HR-ов, которые помогут и ответят на любой твой вопрос.
  • Статус: работа в аккредитованной ИТ-компании.
  • Рост: возможность карьерного роста до начальника отдела.
  • Дополнительная выгода: различные корпоративные программы и скидки.
Татьяна ТимофееваIT Recruiter
МБС

О компании МБС

Сфера
Медиасервис

МБС — сервисная компания, оказывающая услуги бэк-офиса для Национальной Медиа Группы и «СТС Медиа». Компания осуществляет правовую и административную поддержку деятельности телеканалов и активов, ведет финансовый учет и отчетность, обеспечивает безопасность, отвечает за управление вещанием, поддержку информационных систем и вопросы управления персоналом, позволив телеканалам и другим активам сконцентрироваться на программировании, производстве и маркетинге, продажах и дистрибуции, и на другой профильной деятельности.