Application Security Engineer/DevSecOps

TL;DR

Application Security Engineer/DevSecOps: Внедрение процессов безопасной разработки в продуктовые команды с акцентом на анализ ПО, определение требований git-flow и интеграцию SAST/DAST/SCA/Secrets detection решений. Фокус на реализацию security quality gates, secret management и vulnerability management для обеспечения безопасности продуктов.

Локация: Удаленно на территории России

Что делать

• Внедрять и развивать текущие процессы безопасной разработки ПО в продуктах.
• Проводить технический анализ программного обеспечения на этапах разработки/доработки/внедрения/эксплуатации (security by design).
• Определять требования git-flow и внедрять SAST, Secrets detection, SCA, DAST решения, а также сканирование dockerfiles и docker images.
• Проводить security review перед публикацией сервиса.
• Внедрять процессы security quality gates.
• Реализовывать процессы secret management и vulnerability management.

Требования

• Грейд: Middle или Lead.
• Опыт поиска и устранения уязвимостей из OWASP Top 10 (не только для веб-приложений).
• Опыт работы с одним из инструментов: SAST (SonarQube, Semgrep), Secrets detection (trufflehog, gitleaks), SCA (Dependency Track, Dependency Check, OWASP dep-scan), DAST (OWASP ZAP, Burp Suite).
• Опыт построения процессов SSDLC.

Хорошо, если есть

• Умение выявлять архитектурные ошибки и уязвимости в бизнес-логике.

Культура и преимущества

• Удобный график и формат работы – гибкое начало/окончание рабочего дня, гибрид/удаленно.
• Медицинская страховка (стоматология, стационарное и амбулаторное лечение, страхование родственников).
• Доступ к техническому комьюнити – цикл мероприятий по обмену опытом.
• Корпоративные активности: киберспорт, спортивные секции.
• Корпоративные скидки на посещение фитнес-центра в офисе, компенсация затрат на спорт.
• Скидки в магазинах-партнерах.
• Компания является аккредитованной ИТ-компанией.