СК Пульс - иншуртех-стартап в составе Росгосстраха. Мы делаем страхование удобным, гибким и прозрачным, разрабатывая продукты с цифровым клиентским путем — от оформления до урегулирования. Мы предлагаем нашим клиентам доступные продукты по подписке, которую можно настроить под себя в мобильном приложении или на сайте. Среди наших партнеров такие компании, как ВТБ, Теле2, Мегафон, Ростелеком, Велобайк.
О компании
Нас уже более 230 человек, и мы продолжаем расти дальше без бюрократии и легаси. В компании создано направление информационной безопасности численностью 5 человек. Основная цель - формирование безопасной среды для разработки и развития продукта, ИТ инфраструктуры компании. Сейчас мы начинаем поиск AppSec инженера, который имплементирует требования безопасности в разрабатываемые приложения, операционно и технологически выстроит процесс безопасной разработки программного обеспечения (Secure Software Development Lifecycle), поможет разработчикам с триажем выявленных уязвимостей и способами их устранения.
Над чем предстоит работать:
- Формировать требования безопасности к разработке ПО (OWASP ASVS, MASVS), оказание содействия DevSecOps в настройке средств контроля в рамках цикла безопасной разработки ПО (SSDLC), supply chain security. Контроль исполнения требований ИБ в разрабатываемом ПО
- Анализ результатов работы средств контроля (SAST\DAST\SCA): триаж, верификация багов, ручной code review, предложения по устранению уязвимостей или мерам митигации
- Организация security тестирования разрабатываемых мобильных и веб-приложений (OWASP WSTG, MSTG)
- Участие в настройке WAF для митигации отдельных угроз
- Консультирование внутренних и внешних команд разработки в вопросах организации процессов безопасной разработки ПО на всех этапах жизненного цикла
- Участие в процессе Security Awareness в части, касающейся цикла безопасной разработки ПО
- Участие в ревью архитектуры мобильного и веб-приложения
Нам важно:
- Уверенное понимание OWASP Top 10, ASVS, MASVS, 10 proactive controls, CVE\CWE\CVSS, Testing Guide, Code Review Guide и других применимых методологий, стандартов и практик в области безопасной разработки
- Практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости, в т.ч. на архитектурном уровне
- Способность разбираться в чужом коде
- Опыт приоритизации устранения уязвимостей
- Опыт разработки на Java — как преимущество
Что мы предлагаем:
- Работу в современной технологичной компании с минимальным уровнем бюрократии и максимальной свободой действий
- Возможность оформления в аккредитованную ИТ компанию
- Оклад в рынке и годовой бонус за выполненные KPI
- Оформление по ТК РФ, отпуск 31 календарный день
- Обучение за счет компании и доступ к корпоративным онлайн-библиотекам
- Возможность работать удаленно или гибридно на территории РФ или в офисе (Москва, 3 мин пешком от м. Киевская)
- Мощный ноутбук, мониторы и прочее железо, необходимое для продуктивной работы
- ДМС со стоматологией, доплата 14 больничных дней в год до среднего заработка
- Корпоративный мерч, скидки на продукцию и другие подарки от компании