Application security specialist

СберАвто — уникальный для российского рынка сервис для выбора, покупки и доставки автомобилей онлайн. В СберАвто можно подобрать автомобиль, заказать независимый осмотр автомобиля и доставку авто прямо к дому, а также оформить кредит и страховку онлайн. И все это – не выходя из дома, с помощью нескольких сообщений в чате с личным помощником.

Наша миссия – превратить покупку автомобиля в простой, быстрый и безопасный процесс; стать единой точкой входа по всем вопросам, связанным с покупкой авто – от его выбора, проверки и покупки до страхования, оформления кредита и доставки в любой регион России.

Вам предстоит:

• Ручной анализ точек входа в приложение и анализ защищенности , проведение работ по анализу безопасности сервисов

• Проведение код-ревью

• Тюнинг {S,D,I}AST и RASP

• Vulnerability management (в части SSDLC)

• Анализ зависимостей (OSA / SCA)

• Контроль за соблюдением Security Requirements

• Оптимизация правил WAF

• Шаринг знаний с Ops/DevOps

• Коллаборация с продуктовыми командами в области безопасности приложений, включая моделирование угроз, работы по устранению уязвимостей и обзоры рекомендаций по безопасности приложений

• Разработка автоматизаций тестирования, реализация регресс тестов по КБ

• Поддержка программы Bug Bounty (триаж найденных уязвимостей)

• Поддержка подготовки релизов по безопасности

Наши ожидания:

• Опыт работы на аналогичной позиции (или с аналогичным функционалом) не менее трёх лет

• Знание основных видов уязвимостей веб-приложений и методов их устранения

• Знание стандартов OWASP ASVS и WSTG

• Знание и опыт применения основных инструментов для анализа уязвимости веб-приложений, владение навыками ручного и автоматизированного тестирования безопасности веб-приложений с помощью инструментов {S,D,I}AST

• Понимание принципов безопасной разработки ПО

• Владение одним из языков программирования

• Умение работать в командной строке и базовые знания Linux

• Английский язык на уровне чтения документации

• Знание и способность объяснить распространенные недостатки безопасности приложений и способы их устранения (например, OWASP Top 10 (App/Web/Api))

Будет преимуществом:

• Опыт участия в CTF и BugBounty
• Понимание принципов SSDLC и DevSecOps
• Понимание стандартов MASVS и MSTG
• Умение логично, точно, связанно и аргументированно излагать свои мысли и идеи
• Базовый опыт и навыки разработки сценариев для тестирования предпочтительны Python, Go

Мы предлагаем:

• Участие в амбициозном проекте экосистемы Сбер
• Работу в команде профессионалов, реализацию идей по улучшению сервиса

• Интересные и амбициозные задачи

• Достойный уровень ежемесячного дохода

• ДМС + Стоматология

• Полное соблюдение ТК РФ

• Материальную поддержку: у нас принято финансово помогать при рождении ребенка или в сложной жизненной ситуации

• Скидки на фитнес, английский язык

• Оборудование и другие ресурсы