Специалист по безопасной разработке приложений

Мы — команда Витрина ТВ, образованная крупными медиахолдингами России, чтобы объединить ресурсы и разработать технологии для онлайн-трансляции телеканалов.

Мы официально обеспечиваем трансляцию каналов первого и второго мультиплексов и занимаемся всем, что связано с эфиром — от контроля качества до распространения на платформах, таких как Кинопоиск, IVI, Wink и многих других.

Проект находится в стадии активного развития и роста - идет как наращивание функционала, так и подключение новых каналов и площадок. Проект гибкий, мы быстро адаптируемся под новые требования. При планировании задач для разработки мы ориентируемся на требования каналов. В рамках проекта ведется разработка нескольких продуктов:

• трансляционная платформа
• плеер для размещения на веб-сайтах
• SDK для IOS и Android
• SDK для SmartTV
• система сбора статистики и аналитики смотрения, а также система управления вещанием

Сейчас мы активно развиваем процессы DevSecOps и у будущего коллеги будет возможность напрямую влиять на выбор подходов и технологий.
Нам важно внедрить безопасность в каждый этап жизненного цикла разработки ПО, начиная с первых этапов проектирования и заканчивая эксплуатацией, обеспечивая тем самым безопасность и надежность разрабатываемых продуктов.

Чем тебе предстоит заниматься:

• Внедрять новые DevSecOps-практики, помогать командам разработки с применением инструментов и подходов
• Формировать и развивать архитектуру и культуру DevSecOps
• Внедрять, поддерживать и автоматизировать процессы SAST, DAST, SCA и т.д.
• Улучшать и выводить на новые уровни безопасность автоматизации CI/CD (gitlab)
• Участвовать в процессе pre-prod тестирования с целью выявления потенциальных уязвимостей
• Формировать нормативную базу по процессам безопасной разработки
• Принимать участие в проведении комплексных аудитов безопасности
• Бороться за чистоту релизов, составлять рекомендации по устранению выявленных проблем
• Настраивать процессы управления уязвимостями и дефектами для контейнеров
• Внедрять культуру безопасной разработки совместно с Security Champions
• Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST)
• Проводить тонкую настройку инструментов и формировать пользовательские правила
• Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила
• Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний
• Формировать рекомендации по устранению недостатков и защите приложений
• Взаимодействовать с командами разработки по согласованию технического долга

Для этого тебе понадобится:

• Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов
• Понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии
• Знание особенностей веб разработки и меры по обеспечению ее безопасности
• Знакомство с OWASP Top 10, ASVS, WSTG, MASTG
• Понимание способов популярных атак на веб-приложения
• Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0)
• Опыт разработки Go, PHP, NodeJs, Java, Kotlin, использование в проектах Js, Typescript, баз данных MySQL, ClickHouse. Умение разбираться в чужом исходном коде
• Опыт работы в HiLoad проектах
• Понимание того как устроена современная разработка
• Знакомство с системами контроля версий
• Умение работать с Git
• Понимание того как происходит сборка приложений
• Опыт работы с инструментами статического анализа кода (SAST)
• Опыт работы с инструментами анализа открытого ПО (OSA/SCA)
• Опыт работы с инструментами динамического анализа веб приложений (DAST)
• Понимание основных принципов обеспечения безопасности REST API
• Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность
• Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based)
• Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости
• Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения
• Обладаете знаниями стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, NIST, ФСТЭК и т.п.)
• Опыт успешного внедрения SAST, SCA, DAST инструментов
• Имеете опыт работы с инструментальными средствами анализа уязвимостей и проверок безопасности ПО (SAST, DAST, Fuzzing, SCA/OSA и т.д.)
• Навыки DevOps, эксплуатация и поддержка готовых CI/CD окружений (Gitlab), работа с Terraform/Ansible
• Понимание принципов работы Docker, Kubernetes, диагностика и поиск проблем
• Знание основных принципов работы современных приложений, процессов CI/CD и безопасной разработки (SSDLC/DevSecOps)
• Понимание логики работы классов решений и их места в жизненном цикле разработки и доставки приложений
• Опыт нормативного обеспечения процессов SSDLC/DevSecOps

Работа в Витрина-ТВ - это:

• Погружение в мир масштабных проектов: у нас ты окажешься в эпицентре динамичных процессов, где каждый рабочий день становится новым вызовом для твоего роста
• Профессионализм и адекватность: Высокий профессионализм коллег и адекватное руководство
• Развитие: большая команда профессионалов, готовых делиться своими знаниями и страстью к технологиям. А также внутреннее наставничество, участие во внешних конференциях и оплата профильных курсов
• Инженерная культура: прозрачность код-ревью, оперативное внедрение новых фичей и совершенствование существующего кода через рефакторинг
• Свобода: офис, удалёнка или гибрид — решать тебе
• Гибкий график - смотрим не на количество отработанных часов, а на результат проделанной работы. Отсутствие дресс-кода и бюрократии
• Забота о здоровье: после испытательного срока - расширенное ДМС со стоматологией, телемедициной, психологом. А также скидки на иные виды страхования для близких
• Комфорт: современный офис в пешей доступности от м.Тульская.
• Снэк-бар в офисе - чтобы мысли о голоде не мешали работать :)
• Онбординг для новичков и команда HR-ов, которые помогут и ответят на любой твой вопрос
• Статус: Работу в аккредитованной ИТ-компании
• Рост: Возможность карьерного роста до начальника отдела
• Дополнительная выгода: Различные корпоративные программы и скидки