Инженер по информационной безопасности (Application Security Engineer / AppSec)

Мы – IT-компания Экосистемы СбераБанка, работаем под брендом СберАналитика.

СберАналитика – это аналитическая платформа, продукты которой помогают нашим клиентам открывать и развивать бизнес, изучать конкурентов, управлять рисками и оценивать аудиторию. Мы развиваем инновационные решения, исследуем все ключевые метрики и показатели для бизнеса и госсектора. Мы реализуем аналитику на реальных данных, ориентируемся на лучшие мировые практики и работаем на современном тех.стеке.

Обязанности:

• Участие в построении и совершенствовании процесса безопасной разработки ПО (SSDLC);

• Проведение анализа кода на наличие уязвимостей с использованием инструментов Application Security (SAST, DAST, OSA/SCA);
• Интеграция инструментов безопасной разработки в существующие DevOps-процессы, настройка Quality Gates;

• Верификация выявленных уязвимостей, оценка их критичности и применимости к программному продукту;
• Подготовка рекомендаций и консультирование продуктовых команд по устранению выявленных уязвимостей;
• Контроль устранения выявленных дефектов/уязвимостей;
• Участие в приемо-сдаточных испытаниях релизов программных продуктов;
• Развитие методологии SSDLC, пилотирование новых инструментов, ведение внутренней базы знаний.

• Опыт работы на должности с аналогичными функциями от 2 лет;
• Понимание принципов разработки ПО, умение анализировать код на JS / Python / Go;
• Знание основных угроз веб и мобильных приложений (OWASP Top 10, CWE Top 25) и методов защиты;
• Опыт работы с инструментами Application Security: SAST (SonarQube, Checkmarx, Semgrep и т.п.), DAST (Burp Suite, OWASP ZAP и т.п.), SCA/OSA (Snyk, Trivy, OWASP Dependency-Track, cdxgen и т.п.), TruffleHog, DefectDojo и др.;
• Опыт развертывания и поддержки инструментов анализа кода (SAST, DAST, OSA/SCA), включая интеграцию в конвейер CI/CDL/CDP и настройки Quality Gates;
• Знание одного из языков (Bash / Python / Go) для написания скриптов автоматизации.

​​​​​​​Будет преимуществом:

• ​​​​​​​Опыт работы со стеком: Bitbucket, Jenkins, Nexus, HashiCorp Vault, Kubernetes;
• Опыт написания правил и создания регулярных выражений для инструментов статического анализа и поиска секретов (например, Semgrep, TruffleHog и т.п.);
• Участие в Bug Bounty или CTF.

• Оформление в штат по ТК РФ;
• Работа в аккредитованной IT-компании, сопутствующие льготы;
• Ежегодный бонус по итогам работы;
• ДМС, в т.ч. для родных по программе со-оплаты;
• Скидки и льготы от партнеров;
• Обучение и участие в конференциях за счет компании;
• Развитие и расширение компетенций внутри команды;
• График работы: офисный формат работы, 5/2 с 9:00 до 18:00
• Местоположение команды: м. Воронцовская/Калужская, улица Обручева, 30/1с2 (БЦ Кругозор).