Специалист по безопасной разработке приложений

Чем тебе предстоит заниматься

• Внедрять новые DevSecOps-практики, помогать командам разработки с применением инструментов и подходов.
• Формировать и развивать архитектуру и культуру DevSecOps.
• Внедрять, поддерживать и автоматизировать процессы SAST, DAST, SCA и т.д.
• Улучшать и выводить на новые уровни безопасность автоматизации CI/CD (GitLab).
• Участвовать в процессе pre-prod тестирования с целью выявления потенциальных уязвимостей.
• Формировать нормативную базу по процессам безопасной разработки.
• Принимать участие в проведении комплексных аудитов безопасности.
• Бороться за чистоту релизов, составлять рекомендации по устранению выявленных проблем.
• Настраивать процессы управления уязвимостями и дефектами для контейнеров.
• Внедрять культуру безопасной разработки совместно с Security Champions.
• Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST).
• Проводить тонкую настройку инструментов и формировать пользовательские правила.
• Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила.
• Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний.
• Формировать рекомендации по устранению недостатков и защите приложений.
• Взаимодействовать с командами разработки по согласованию технического долга.

Для этого тебе понадобится

• Образование в сфере информационной безопасности, информационных технологий или прикладной математики, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.
• Понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии.
• Знание особенностей веб разработки и меры по обеспечению ее безопасности.
• Знакомство с OWASP Top 10, ASVS, WSTG, MASTG.
• Понимание способов популярных атак на веб-приложения.
• Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0).
• Опыт разработки Go, PHP, Node.js, Java, Kotlin, использование в проектах JS, TypeScript, баз данных MySQL, ClickHouse. Умение разбираться в чужом исходном коде.
• Опыт работы в HiLoad-проектах.
• Понимание того, как устроена современная разработка.
• Знакомство с системами контроля версий.
• Умение работать с Git.
• Понимание того, как происходит сборка приложений.
• Опыт работы с инструментами статического анализа кода (SAST).
• Опыт работы с инструментами анализа открытого ПО (OSA/SCA).
• Опыт работы с инструментами динамического анализа веб приложений (DAST).
• Понимание основных принципов обеспечения безопасности REST API.
• Умение работать с Postman, Swagger. Опыт работы с инструментами анализа мобильных приложений на безопасность.
• Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based).
• Опыт работы с Docker (Compose), Kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости.
• Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения.
• Обладание знаниями стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, NIST, ФСТЭК и т.п.).
• Опыт успешного внедрения SAST, SCA, DAST инструментов.
• Наличие опыта работы с инструментальными средствами анализа уязвимостей и проверок безопасности ПО (SAST, DAST, Fuzzing, SCA/OSA и т.д.).
• Навыки DevOps, эксплуатация и поддержка готовых CI/CD окружений (Gitlab), работа с Terraform/Ansible.
• Понимание принципов работы Docker, Kubernetes, диагностика и поиск проблем.
• Знание основных принципов работы современных приложений, процессов CI/CD и безопасной разработки (SSDLC/DevSecOps).
• Понимание логики работы классов решений и их места в жизненном цикле разработки и доставки приложений.
• Опыт нормативного обеспечения процессов SSDLC/DevSecOps.
• Опыт работы 3-6 лет.

Работа в Витрина-ТВ — это

• Погружение в мир масштабных проектов: у нас ты окажешься в эпицентре динамичных процессов, где каждый рабочий день становится новым вызовом для твоего роста.
• Профессионализм и адекватность: высокий профессионализм коллег и адекватное руководство.
• Развитие: большая команда профессионалов, готовых делиться своими знаниями и страстью к технологиям. А также внутреннее наставничество, участие во внешних конференциях и оплата профильных курсов.
• Инженерная культура: прозрачность код-ревью, оперативное внедрение новых фичей и совершенствование существующего кода через рефакторинг.
• Свобода: офис, удалёнка или гибрид — решать тебе.
• Гибкий график — смотрим не на количество отработанных часов, а на результат проделанной работы. Отсутствие дресс-кода и бюрократии.
• Забота о здоровье: после испытательного срока — расширенное ДМС со стоматологией, телемедициной, психологом. А также скидки на иные виды страхования для близких.
• Комфорт: современный офис в пешей доступности от м. Тульская.
• Снэк-бар в офисе — чтобы мысли о голоде не мешали работать.
• Онбординг для новичков и команда HR-ов, которые помогут и ответят на любой твой вопрос.
• Статус: работа в аккредитованной ИТ-компании.
• Рост: возможность карьерного роста до начальника отдела.
• Дополнительная выгода: различные корпоративные программы и скидки.