БФТ-Холдинг (входит в группу компаний «Ростелеком») – российский разработчик программных продуктов и заказных решений для государственного сектора и бизнеса. Проекты, выполняемые нами, меняют в лучшую сторону жизнь людей по всей стране!
За 27 лет на IT-рынке:
— Более 6500 проектов в 83 регионах. В рамках заказной разработки — более 15 масштабных федеральных проектов
— 2500+ сотрудников в 100+ городах России от Калининграда до Владивостока. Офисы – в 22 городах.
— Одна из самых быстрорастущих ИТ-компаний страны.
— Второе место в рейтинге крупнейших ИТ-поставщиков в госсекторе.
— Входим в ТОП-10 крупнейших разработчиков заказного ПО.
Обязанности:
-
Обеспечивать и развивать процессы безопасной разработки (AppSec best practices, ГОСТ Р 58412, ГОСТ 56939);
-
Участвовать в разработке требований по безопасности в проектах и продуктах;
Проводить моделирование угроз. -
Интегрировать инструменты безопасной разработки в процессы разработки, разрабатывать рекомендации и требования по настройке.
-
Проводить аудиты безопасности разрабатываемых продуктов (security architecture review, анализ результатов работы инструментов безопасной разработки, White/Gray Box Pentesting etc).
Подготавливать рекомендации по устранению выявленных недостатков в проектных решения, коде и т.д . -
Проводить консультации разработчиков в части разработки безопасного кода.
При возможности, самостоятельно проводить ревью кода (java, kotlin, c#) в разрезре безопасности. -
Подготовка Security Champions в командах разработки; проведение обучения в командах;
-
Сопровождение проектов аудита программных продуктов и проектов внешними подрядчиками.
-
Работа с инцидентами ИБ на этапе эксплуатации, подготовка рекомендаций по устранению выявленных проблем и улучшению процессов БРПО.
Требования:
-
Знание техник обхода СЗИ. Знание и понимание основных методов и способов эксплуатации уязвимостей в программном коде, практические навыки по их устранению. OWASP, CWE.
-
Навыки формулирования требований по безопасности, моделирования угроз.
-
Опыт проведения аудитов безопасности программных продуктов и платформ.
-
Опыт использования и интеграции инструментов статического, динамического анализа и фаззинга
-
Знания принципов работы и аспектов безопасности современных систем (микросервисы, облачные технологии, REST API, gRPC, OAuth2.0/OpenID).
Условия:
- Работа в аккредитованной ИТ-Компании, занимающей лидирующие позиции на рынке
- Оформление в строгом соответствии с ТК РФ
- Профессиональный коллектив, реальная возможность карьерного роста и развития
- ДМС после испытательного срока с возможностью страхования детей и родственников
- Организованные, удобные для сотрудников компании внутренние процессы: КЭДО (электронный кадровый документооборот, отсутствие бумажных документов), удобный Интранет портал с возможностью заказа любых необходимых справок и услуг, запросы в электронном виде и пр.
- Корпоративный магазин: внутренняя валюта позволяет приобрести ценные подарки, компенсировать расходы на детский лагерь или занятия спортом
- Праздники и ивенты — неотъемлемая часть нашей корпоративной культуры
