Старший аналитик по безопасности приложений (AppSec)

Мы – СОВКОМБАНК ТЕХНОЛОГИИ, IT-компания финансовой Группы «Совкомбанк».

Входим в топ-5 лучших работодателей по версии Хабр Карьера. У нас работает более 6000 специалистов по всей России. Мы развиваем экосистему карты рассрочки Халва, приложение Совкомбанк Инвестиции и собственные корпоративные продукты, проводим масштабные интеграции сервисов и компаний.

Открыта вакансия Старшего аналитика по безопасности приложений (AppSec). Совместно с DevSecOps предстоит внедрять новые процессы и развивать текущие практики SSDLC в продуктовых командах во всей группе компаний Совкомбанк.

Присоединяйся к команде кибербезопасности – давай вместе прокачивать финтех!

ЗАДАЧИ, КОТОРЫЕ ПРЕДСТОИТ РЕШАТЬ:

• Техническое лидирование и развитие направления безопасной разработки в ГК Совкомбанк;
• Финальное решение по найденным уязвимостям, подготовка POC;
• Ручная проверка участков кода для критичных приложений;
• Внедрение и настройка инструментов SSDLC, совместно с DevSecOps;
• Консультирование разработчиков по вопросам ИБ (включая ревью кода), внедрение механизмов безопасности на разных стадиях жизненного цикла ПО;
• Проведение R&D и внедрение новых инструментов безопасности;
• Организация и проведение митапов по безопасной разработке для команд.

НАШИ ОЖИДАНИЯ ОТ КАНДИДАТА:

• Понимание современных методик разработки (Agile, Scrum, Vibecoding);
• Опыт работы с инструментами AppSec на уровне настройки и написания правил: SAST, DAST, Fuzzing, OSA, SCA;
• Опыт работы с уязвимостями в зависимостях. Анализ уязвимостей в прямых и транзитивных зависимостях;
• Опыт работы со сканерами уязвимостей WEB и API (OWASP ZAP, Burp Suite Professional, Burp Suite Enterprise edition или аналоги);
• Знание современных угроз для веба, мобильных приложений и методы их устранения, включая OWASP Top 10 WEB и OWASP Mobile Top 10, OWASP API Top 10, OWASP MASVS, MASTG;
• Уверенные знания современных протоколов авторизации (SAML 2.0, OpenID Connect).

ПЛЮСОМ БУДЕТ:

• Опыт работы с Keycloak;
• Опыт работы в команде разработки;
• Опыт с инструментами IAST, Taint Analysis, MAST, FAST;
• Навыки чтения и анализа исходного кода на наличие уязвимостей;
• Практический опыт проведения пентестов веб и мобильных приложений;
• Знание нормативно-правовых документов и отраслевых стандартов ГОСТ Р ИСО/МЭК 15408-3-2013, 851-П (683-П), 757-П Банка России и оценкой по ОУД.4, РБПО.

Мы предлагаем:

• Наша IT-компания аккредитована;
• Классная команда – мы за радость общения и дружбу в коллективе;
• Комфортные офисы – у нас уютные рабочие пространства по всей России, комнаты отдыха с настольным теннисом, кикером, плойкой и другими плюшками;
• Развитие профессиональной экспертизы: ты сможешь обучаться и посещать конференции и митапы за счёт Банка;
• Коворкинги в Сочи и на Алтае – туда можно отправиться поработать и отдохнуть в режиме 4/3 за счёт Банка;
• Более 50 социальных программ – ДМС со стоматологией и страхованием от несчастных случаев и болезней, изучение английского, софинансирование летнего, зимнего и тематического отпуска, уникальные условия по продуктам и услугам Банка;
• Забота о детях: мы проводим праздники и экскурсии для детей наших сотрудников, софинансируем частный детский сад, отдых в лагере и подготовку к экзаменам;
• Много спорта: у нас есть клубы и секции, можно заниматься любым спортом за счёт Банка и участвовать в корпоративных турнирах и чемпионатах. Также мы софинансируем коллегам абонементы в фитнес-клубы;
• Вовлеченность, комфорт и свобода. У нас минимум бюрократии, нет дресс-кода, гибкое начало и завершение рабочего дня;
• Самая яркая корпоративная культура – летние IT-фесты, путешествия по России и за её пределами!