Application Security Engineer
Tilda — это международный продукт, который работает на стыке дизайна и программирования. Мы помогаем тысячам людей развивать свои проекты в digital среде.
Ищем Application Security /DevSecOps специалиста, который будет участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности, реализует процесс безопасной разработки (SSDLC) и внедрит автоматизированные инструменты сканирования.
Что нужно будет делать:
-
Реализовывать и поддерживать процесс безопасной разработки программного обеспечения (SSDLC):
-
Определять требований Git-flow для команд;
-
Внедрять практики Singed Commit, Signed Artifacts, Code Owners;
-
Внедрять SAST решения;
-
Внедрять Secrets Detection решения;
-
Внедрять SCA решения;
-
Внедрять DAST решения;
-
Внедрять средство оркестрации уязвимостей;
-
Писать и совершенствовать правила SAST/DAST и иных инструментов, направленных на анализ безопасности продуктов;
-
Поддерживать и совершенствовать существующие инструменты сканирования;
-
Помогать командам в моделировании угроз;
-
Проводить Security Review перед публикацией сервиса;
-
Проводить анализ уязвимостей.
-
-
Внедрять процессы Security Quality Gates;
-
Реализовывать процесс Secret Management;
-
Реализовывать процесс Vulnerability Management;
-
Участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности;
-
Проводить анализ защищенности существующих продуктов компании.
Что мы ожидаем:
-
Опыт поиска и устранения уязвимостей из OWASP Top 10;
-
Умение выявлять архитектурные ошибки и уязвимости бизнес логике;
-
Опыт работы с OWASP SAMM;
-
Опыт построения процессов SSDLC;
-
Понимаете принципы построения и работы веб-приложений;
-
Опыт работы с Github Actions, Github Workflow ;
-
Опыт работы с инструментами сканирования (одним из каждой категории):
-
SAST: Semgrep, SonarQube.
-
SCA: Dependency Track, Dependency Check.
-
Secret Detection: trufflehog, gitleaks.
-
DAST: OWASP ZAP, Nuclei.
-
Дополнительно приветствуем:
-
Умение читать и анализировать код на PHP;
-
Умение ориентироваться в документах по ФЗ-152 (и возможно GDPR), а также способствовать тому, чтобы код соответствовал изменениям в законодательстве;
-
Опыт получения сертификатов по информационной безопасности и защите персональных данных (например, ISO 27001).
Что мы можем предложить: - Белую и своевременную заработную плату в зависимости от компетенций;
- Официальное трудоустройство и все льготы аккредитованной ИТ-компании;
- Современное рабочее оборудование и офис в самом центре Москвы;
- Гибридный формат, гибкое начало рабочего дня;
- Участие в проекте с многомиллионной аудиторией пользователей;
- Возможность мыслить широко и влиять на результат;
- Работу в команде профессиональных ребят;
- ДМС со стоматологией с первых дней;
- Корпоративные выплаты в случае важных семейных событий;
- Участие в профильных конференциях и курсах за счет компании;
- Возможность пройти бесплатное обучение от Школы Тильды по имеющимся направлениям.
Обслуживать клиентов: работать со счетами, пластиковыми картами и денежными переводами. Продавать банковские и страховые продукты (кредитные продукты, карты, вклады).
Обслуживать клиентов: работать со счетами, пластиковыми картами и денежными переводами. Продавать банковские и страховые продукты (кредитные продукты, карты, вклады).