Отзыв о городе
1-ТРК
История переезда

AppSec: Research & Integration

Дата размещения вакансии: 21.11.2024
Работодатель: Инфосистемы Джет
Уровень зарплаты:
з/п не указана
Город:
Москва
Требуемый опыт работы:
От 3 до 6 лет

Что такое AppSecPlatform?

AppSecPlatform – AppSec-платформа, которая помогает оптимизировать процессы безопасной разработки.

Если просто, то результаты, получаемые от *AST (SCA, SAST, DAST и т.д.) сканеров попадают в «AppSecPlatform» и AppSec специалист работает с ними уже там.

Он делает разметку, взаимодействует с разработчиками через комментарии, ставит задачи в Jira, работает с дашбордами и т.д. – т.е. все то, что он делал с «отдельно взятым сканером», но уже централизованно.

Система интересная, сложная, всегда есть «что поделать» и «что улучшить». Уверен, что тебе не будет скучно с нами при разработке «AppSecPlatform»!

Что мы хотим сделать?

Если обобщить, то все максимально просто. Мы хотим сделать самую удобную и функциональную AppSec-платформу, которой будет удобно пользоваться как AppSec-специалистам, так и разработчикам.

Такой вот инструмент, где все под рукой. Все понятно. Ничего лишнего. И все максимально просто и удобно для пользователя.

Одним словом, мы хотим сделать «AppSecPlatform» - лучшего друга AppSec-специалистов!

Кого нам не хватает? AppSec: Research & Integration

Что нужно будет делать:

Работа предполагает совмещение двух областей деятельности – research and development и инженерную деятельность.

R’n’d необходим для расширения и улучшения функционала разрабатываемого Продукта – AppSecPlatform.

Инженерная деятельность связана с помощью (потенциальным) Заказчикам при проведении работ, связанных с «AppSecPlatform» – от пилотирования до внедрения. Эксплуатационная часть не рассматривается.

Таким образом в нашу команду нужен специалист, который будет поддерживать развитие «AppSecPlatform» не только «изнутри», но и «вовне».

Чем предстоит заниматься:

1. R&D-активности

  • Помогать команде разработки по вопросам, связанным с логикой работы различных *AST-сканеров и нюансами их работы (например, API-возможности сканера, возможные форматы предоставления результатов, особенности работы сканеров, их ограничения и т.д.)
  • Помогать команде разработки по вопросам, связанным с Application Security (например, расшифровка требований ASVS, пояснения по различным форматам данных – SBOM, SARIF и т.д.)
  • Объяснять команде разработки логику работы *AST-сканеров (верхнеуровнево)
  • Продумывать вместе с командой логику работы отдельно взятых функций «AppSecPlatform». Например:
    • оптимизация процесса дедупликации ИБ-дефектов
    • тонкости, связанные с анализом отдельно взятых языков программирования
    • возможные способы применения ML/AI для задач, решаемых «AppSecPlatform»
    • составлять справочники по типам уязвимостей, используемые при нормализации данных, получаемых от сканеров
    • и т.д.
  • Взаимодействовать с разработчиками при устранении багов и реализации новых фич
  • Тестировать новые сканеры, которые будут добавляться в «AppSecPlatform»
  • Генерировать идеи для улучшения как визуального, так и функционального наполнения «AppSecPlatform» (опционально)

2. Инженерная деятельность

  • Проводить демонстрации «AppSecPlatform» (опционально)
  • Следить за тем, чтобы demo-стенд всегда был доступен и функционален (в дни демонстраций)
  • Проводить пилоты «AppSecPlatform»:
    • Определять критерии успешности пилота (совместно с PO)
    • Устанавливать (оказывать помощь при установке) AppSecPlatform в ИТ-инфраструктуре Заказчика
    • Проводить испытания
    • Демонстрировать полученные результаты (совместно с PO)
    • Консультировать Заказчика по всем вопросам, возникающим при проведении пилота (своевременное)
    • Формировать и предоставлять обратную связь по результатам пилота команде разработки
  • Оказывать содействие при presale-активностях
    • Помогать PO заполнять необходимую для Заказчиков информации, связанную с устройством и логикой работы «AppSecPlatform» (по части технической реализации)
  • Реализовывать проекты по внедрению «AppSecPlatform»:
    • Разрабатывать варианты архитектурных решений при внедрении «AppSecPlatform»
    • Участвовать в проведении переговоров с Заказчиками (техническая часть)
    • Участвовать в реализации проектов по внедрению «AppSecPlatform» (от проектирования до внедрения)
    • Подготавливать необходимую документацию для Заказчика
    • Демонстрировать результаты проекта Заказчику (совместно с PO)
    • Консультировать Заказчика по всем вопросам, возникающим при реализации проекта (своевременное)

Вы наш кандидат, если у вас есть:

  • Опыт работы Application Security инженером от двух лет. Хорошее знание веб-технологий
  • Опыт работы с Linux (работа с файлами, ssh, systemctl, стандартные команды обработки логов и т.д.)
  • Понимание принципов работы современных веб-приложений, микросервисной архитектуры
  • Практический опыт работы с *AST-сканерами различных классов (SCA, SAST, DAST, Container Security и т.д.). Фокус на отечественные решения и open source
  • Практический опыт работы с Git, VCS, CI, Issue Trackers системами
  • Практический опыт интеграции *AST-сканеров с окружением разработки (IDE, VCS, Issue Trackers и т.д.)
  • Знание технологий контейнеризации (Docker, Kubernetes): запуск контейнеров, поиск ошибок при запуске, устранение ошибок
  • Понимание принципов работы вышеуказанных сканеров, умение объяснять их
  • Знание различных стандартов и методологий в области безопасной разработки (OWASP Top-10 (Web, API), CWE Top-25, ASVS, NIST и т.д.)
  • Успешный опыт ведения пилотов, проектов в инфраструктуре Заказчика
  • Знание английского языка на техническом уровне

Будет плюсом:

  • Навыки написания утилит для автоматизации на каком-либо языке программирования (Python, Golang и т.д.)
  • Практический опыт анализа приложений, опыт в разметке срабатываний *AST-сканеров
  • Практический опыт использования наиболее распространенных техник эксплуатации
  • Желание разбираться в технологиях
  • Опыт работы с API различных сканеров

Почему мы:

  • Интересные, сложные и масштабные проекты по ИБ по всем направлениям – он консалтинга до оказания ИБ-сервисов
  • Работу в команде крутых экспертов, которые помогут разобраться в любой теме или найти ответ на любой вопрос
  • Возможность поработать со всеми наиболее часто используемыми средствами защиты информации на практике
  • Помощь в развитии не только hard skills, но и soft
  • Оформление по ТК РФ
  • Возможность удаленной работы
  • Заработную плату по результатам собеседования + премии по итогам работы и другие способы мотивации

​​​​​

Откликнуться

Похожие вакансии: Москва