Инженер по безопасной разработке (DevSecOps)

ЭОС – компания, которая с 1994 создает профессиональные системы управления информацией и многопрофильные платформы.

Компания-лидер на рынке СЭД и ECM-систем, что гарантирует обеспечение надежных и долгих отношений. Продукты компании установлены у более, чем 7000 клиентов и более 1 000 000 рабочих мест.

Наши системы работают в большинстве госорганов РФ, а также в крупнейших коммерческих предприятиях – нефтегазовой, банковской, транспортной, торговой, топливно-энергетической отраслях.

Основная задача компании – создавать качественные продукты, которые ежедневно используют миллионы людей.

Мы ищем к себе в команду Инженера по безопасной разработке (DevSecOps). В дружной, молодой, профессиональной команде вам предстоит работать над созданием СЭД для крупнейших государственных и коммерческих заказчиков. С тем, что вы создадите, будут каждый день работать по всей стране тысячи людей.

Вам предстоит:

• Проведении динамического и статического анализа исходного кода программных продуктов (SAST, DAST).
• Проведение фаззинг тестирования ПО.
• Проведение компонентного анализа.
• Проведение тестов на проникновение.
• Анализ результатов работы сканеров, подготовка отчетов, работа с командами разработки.
• Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков.
• Подготовка рекомендаций по устранению уязвимостей в продуктах компании.
• Работа с системами CI/CD.
• Участие в формировании требований ИБ к продукту, в моделировании угроз.
• Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний.
• Консультирование внутренних и внешних команд разработки в вопросах организации SDLC.
• Архитектурные ревью: Проведение архитектурных ревью и формирование требований безопасности к новым фичам на этапах проектирования и тестирования.

Наши ожидания от кандидата:

• Высшее или неоконченное высшее образование в области информационных технологий или информационной безопасности.
• Знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются.
• Опыт разворачивания и применения инструментов безопасной разработки (SAST, DAST и других).
• Опыт работы с одним или несколькими инструментами CI/CD (Git/AzureDevOps).
• Опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, AzureDevOps).
• Знание стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (NIST, OWASP, ФСТЭК, OWASP SAMM, Microsoft SDL).
• Понимание принципов построения процесса DevSecOps в компании-разработчике ПО.
• Понимание принципов работы современных веб-приложений, процессов CI/CD.
• Уверенное знание ГОСТ 56939-2016, регламентирующих документов ФСТЭК и ФСБ в части сертификации программного обеспечения.

Будет преимуществом:

• Опыт расследования инцидентов.
• Опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки, а также опыт управления небольшой командой ИБ.
• Знание стандартов, фреймворков и лучших мировых практик по разработке безопасного программного обеспечения.
• Знание английского на уровне чтения технической документации.
• Знание и практическое применение современных средств, систем и методик защиты информации веб-приложений.
• Знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта.
• Понимание циклов SSDLC, DevSecOps.
• Опыт работы с инструментами АК-ВС3, Svace, Dependency-Track и аналогичными.

Мы предлагаем:

• Участие в крупных проектах федерального и регионального масштаба по созданию социально значимых приложений – возможность внести собственный вклад в развитие страны.
• Официальное оформление по ТК РФ.
• «Белая» заработная плата, выплачиваем точно в срок.
• Гибкий график работы.
• Готовы рассмотреть вариант дистанционного сотрудничества.
• Материальная помощь к отпуску.
• Компенсация фитнеса, ДМС.
• Возможность обучения и сертификации за счет компании.
• Молодой и дружный коллектив.
• Корпоративы, team building.
• Минимум бюрократии.

Мы ищем специалиста, которому будет интересно развиваться и приносить пользу нашей компании и клиентам.

Заработная плата определятся по результатам собеседования и зависит от навыков и опыта кандидата.