AppSec Engineer

Крупнейший универсальный коммерческий банк Казахстана приглашает тебя в свою команду. Мы ищем талантливых людей, готовых развиваться и расти вместе с нами.

Группа Halyk – это более 17 000 сотрудников в Казахстане и ряде других стран. Наш банк успешно работает на благо своих клиентов уже 100 лет. Мы оказываем услуги во всех сегментах финансового рынка: банковском, страховом, ценных бумаг, лизинговом.

Что ты будешь делать:

• Участие во внедрении и развитии процессов Application Security / SSDLC;
• Настройка, эксплуатация и сопровождение security-инструментов в процессе разработки;
• Интеграция и поддержка проверок в CI/CD: SAST, SCA, secrets scanning, IaC scanning, container/image scanning, DAST;
• Анализ результатов автоматизированных проверок, triage уязвимостей, снижение false positive и подготовка рекомендаций для команд;
• Взаимодействие с разработчиками, DevOps и архитекторами по вопросам безопасной разработки;
• Контроль выполнения security-требований на этапах разработки, сборки и поставки;
• Участие в формировании security gates, политик и базовых стандартов secure coding;
• Помощь в расследовании причин уязвимостей и повторяющихся проблем в коде, пайплайнах и конфигурациях;
• Участие в контейнерной и cloud-native безопасности в части приложений, образов и Kubernetes-контура;
• Ведение технической документации, участие в пилотах и развитии AppSec tooling.

Что мы ждем от тебя:

• Практический опыт в Application Security / AppSec / DevSecOps / SSDLC от 2–5 лет;
• Понимание жизненного цикла разработки ПО и того, как security встраивается в SDLC без fail в процесса;
• Опыт работы с одним или несколькими классами решений:
  SAST, SCA, DAST, secrets scanning, IaC scanning, container security;
• Понимание OWASP Top 10, основных классов уязвимостей веб-приложений, API и типовых ошибок разработки;
• Опыт работы с CI/CD и понимание того, как security-проверки встраиваются в pipeline;
• Базовое или хорошее понимание контейнеров, Kubernetes, Docker, image security, artifact repositories;
• Умение читать код, разбираться в технических причинах проблем и нормально объяснять их разработчикам;
• Навык не просто находить уязвимость, а понимать её контекст, реальный риск и приоритет исправления.

Будет плюсом:

• Опыт с инструментами вроде SonarQube, Checkmarx, Veracode, Fortify, Snyk, Trivy, ZAP, Burp, DefectDojo, Nexus / Artifactory;
• Опыт работы в банковской, финтех- или иной enterprise-среде;
• Понимание secure coding, threat modeling, software supply chain security, SBOM;
• Опыт с GitLab CI, Jenkins, GitHub Actions;
• Опыт в container/Kubernetes security и взаимодействии с DevOps/platform teams.

Мы предлагаем:

• Уникальный опыт, интересные задачи и проекты;
• Применение инновационных технологий в работе;
• Обучение и тренинги;
• Конкурентная оплата труда в соответствии с международными стандартами.

Заинтересовала вакансия? Откликайся!