Эксперт по безопасной разработке (DevSecOps)

О компании

Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.
Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка.

Наша команда: более 900 сотрудников

Мы предлагает своим сотрудникам разнообразные стек технологий и области применения.

Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды.

Рабочие задачи:

• Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST);

• Проводить тонкую настройку инструментов и формировать пользовательские правила;

• Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила;

• Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний;

• Формировать рекомендации по устранению недостатков и защите приложений;

• Взаимодействовать с командами разработки по согласованию технического долга.

Ваш опыт, навыки и личные качества:

• Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.
• Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии.
• Понимание сетевой модели OSI, знание основных протоколов.
• Понимание того как должна быть устроена безопасная разработка.
• Знакомство с ГОСТ 56939.
• Знание особенностей веб разработки и меры по обеспечению ее безопасности.
• Знакомство с OWASP Top 10, ASVS, WSTG, MASTG.
• Понимание способов популярных атак на веб-приложения.
• Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0);
• Опыт разработки на языках программирования высокого уровня. Умение разбираться в чужом исходном коде.
• Понимание того как устроена современная разработка.
• Знакомство с системами контроля версий.
• Умение работать с Git.
• Понимание того как происходит сборка приложений.
• Знакомство с популярными сборщиками Gradle, Maven.
• Опыт работы с инструментами статического анализа кода (SAST).
• Опыт работы с инструментами анализа открытого ПО (OSA/SCA). Понимание SBOM.
• Опыт работы с инструментами динамического анализа веб приложений (DAST).
• Умение проходить лабораторные работы на Portswigger.
• Понимание основных принципов обеспечения безопасности REST API.
• Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность.
• Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based).
• Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости.
• Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения.

Мы предлагаем:

• Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования).
• Высокий профессионализм коллег и адекватное руководство.
• Официальное трудоустройство.
• Возможность работать дистанционно из любого города (по московскому времени).
• 5-дневная рабочая неделя.
• Качественное обучение по платформе и процессам компании.
• У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется.
• Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.