AppSec/Эксперт по информационной и кибербезопасности программного кода (Platform V)

SberTech приглашает в команду Application Security/Эксперта по информационной и кибербезопасности программного кода (Platform V).

Наша команда совместно с другими производственными командами SberTech (архитекторами, разработчиками, тестировщиками и др.) принимает непосредственное участие в создании и развитии инновационного для российского и международного рынка продукта - Platform V, который будет помогать как внутренним, так и внешним пользователям быстро и просто создавать и эксплуатировать нативно-безопасные low-code приложения.

Обязанности

• углубленный анализ уязвимостей в поставляемом ПО на основе запросов от потребителей
• контроль устранения выявленных в ходе исследований дефектов/уязвимостей
• подготовка рекомендаций и оказание консультаций по устранению выявленных уязвимостей
• верификация результатов прохождения командами разработки Quality Gates по практикам AppSec (SAST, SCA)
• верификация потенциальных утечек конфиденциальной информации в коде (пароли, API-ключи и т.п.)
• развитие практик и методологии SSDLC, пилотирование инструментов, ведение внутренней базы знаний
• R&D - работа по внедрению ИИ для автоматизации процессов тестирования безопасности приложений.

Требования

• высшее образование (желательно информационная/кибербезопасность)
• знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.)
• знания технологий виртуализации и контейнеризации, основ криптографии, а также протоколов и технологий (JWT, SSL/TLS, HMAC, PKI)
• практический опыт работы с инструментами Application Security (Checkmarx, PT AI, Svace, Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy, Gitleaks, TruffleHog и т.п.)
• опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.)
• опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей
• понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них, знание принципов настройки Content Security Policy (CSP) и работы с HTTP-заголовками для повышения безопасности веб-приложений.

Будет плюсом:

• опыт работы или учебные проекты в области машинного обучения/нейронных сетей
• опыт работы разработчиком ПО
• опыт написания правил для обнаружения уязвимостей и создания регулярных выражений для поиска секретов с использованием инструментов анализа кода (например, PT AI, Gitleaks и т. п.)
• навыки работы с генеративными AI-моделями; опыт создания AI-агентов и использования их в работе.

Условия

• гибридный формат работы в Санкт-Петербурге
• годовой бонус и ежегодный пересмотр зарплаты
• статус аккредитованной ИТ-компании со всеми преимуществами
• расширенный ДМС (медицинское страхование) с первого дня и льготное страхование для семьи
• корпоративный университет Сбера, внутренняя образовательная платформа, участие в IT-конференциях
• 90 дней удаленной работы из любого региона РФ
• льготная ипотека в Сбере, подписка СберПрайм+, скидки от партнеров и сервисов группы компаний.