Центр Биометрических Технологий

Инженер по безопасной разработке (AppSec)

в Центр Биометрических Технологий

250 000 —‍ 350 000 ₽/‍мес до налогов

📍 Москва (Новокузнецкая)
Гибрид
Специализация
Information Security
Уровень
Middle
Требуемый опыт
1+ лет

Технологии/инструменты

Python
Docker
Javascript
Java
Typescript
Linux
Kubernetes
Ci/Cd
Go

Мы — Центр биометрических технологий, технологический лидер в области биометрических решений и один из ключевых игроков рынка информационной безопасности. Мы создаём и развиваем высоконагруженные, отказоустойчивые государственные сервисы, где безопасность архитектуры и кода стоят на первом месте. В связи с масштабированием направления безопасной разработки мы открываем новую позицию.

Чем предстоит заниматься

Вы станете частью команды AppSec/DevSecOps и будете напрямую влиять на безопасность конечных продуктов. Ключевой фокус — построение и автоматизация процессов безопасной разработки (Secure SDLC) и анализ защищённости приложений.

Анализ кода и архитектуры

  • проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов.
  • разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей.
  • участвовать в проработке и согласовании архитектуры приложений с точки зрения ИБ: проводить Threat Modeling (STRIDE, OWASP), выявлять архитектурные недостатки и аргументированно защищать свою экспертизу перед командами разработки.
  • выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP.

Автоматизация и CI/CD

  • внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM.
  • интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Go или Bash.
  • разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep).

Процессы

  • выстраивать и поддерживать процесс управления секретами.
  • разрабатывать внутренние нормативные документы и стандарты безопасной разработки.
  • консультировать IT-команды по вопросам написания безопасного кода и устранения уязвимостей.
  • валидировать отчёты, поступающие по программам Bug Bounty, и сопровождать их отработку.

Подчинение руководителю направления безопасной разработки и архитектуры приложений. На начальном этапе подчинённых нет, но, по мере роста экспертизы, предусмотрен рост до позиции Старшего инженера.

Требования

  • высшее образование в сфере информационной безопасности.
  • опыт работы инженером AppSec или DevSecOps от 2 лет.
  • практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM.
  • опыт работы с DAST (OWASP ZAP или аналогами).
  • знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Go, Python, JavaScript/TypeScript).
  • опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management.
  • глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения.
  • понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups).
  • опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD.

Будет преимуществом

  • наличие отраслевых сертификатов (OSCP, OSWE, GWAPT, CISSP и др.).
  • опыт обеспечения безопасности контейнерных сред и оркестрации (Docker, Kubernetes).
  • навыки ручного тестирования защищённости (пентест) и проведения фаззинга.
  • знание и понимание применимости eBPF для задач безопасности.

Условия

  • официальный доход — оклад + бонус квартальный и годовой; условия с успешным кандидатом готовы обсуждать индивидуально.
  • ДМС со стоматологией и международная страховка.
  • кафетерий льгот (компенсация ОСАГО, спортивного инвентаря, ДМС близким родственникам и многое другое).
  • гибридный график работы.
  • офис находится в центре в шаговой доступности от ст. м. Новокузнецкая.
  • заряженная команда полного цикла.
  • возможность профессионального и карьерного роста.
Центр Биометрических Технологий

О компании Центр Биометрических Технологий

Центр Биометрических Технологий — оператор государственной информационной системы "Единая биометрическая система". Ключевыми компетенциями компании является разработка, развитие и продвижение цифровых технологий идентификации и аутентификации, а также сервисов подписания и хранения документов, включая создание, развитие и эксплуатацию коммерческих сервисов и типовых решений. В 2024 году компания представила линейку новых продуктов, в числе которых: Межбанковский биоэквайринг, Проезд в региональных метрополитенах по биометрии, Онлайн-старт бизнеса, Обслуживание в МФЦ по биометрии и многие другие.