Ведущий инженер по безопасной разработке (AppSec)

СберКорус это:

Десятки удаленных команд и три офиса – в Москве, Санкт-Петербурге и Туле.

Более 3-х миллионов пользователей имеют доступ к нашим продуктам.

Входим в Группу Сбера и предоставляем все соответствующие бонусы.

Наша миссия — создавать удобный цифровой мир для роста бизнеса.

Чем предстоит заниматься:

• Взаимодействие с командами разработки в рамках SSDLC;

• Взаимодействие с product owners и архитекторами в части безопасности архитектурных решений;

• Внедрение shiftleft-подхода в релизный цикл приложений;

• Проведение SAST, OSA/SCA, DAST анализа;

• Инвентаризация всех внутренних и внешних зависимостей, кодовых баз,контроль за своевременным исправлением и обновлением;

• Тестирование на уязвимости исходного кода на языках (javaScript, typeScript,Java), умение читать и анализировать код на данном стеке;

• Своевременное реагирование, блокирование и консультация по исправлению найденных уязвимостей, с целью недопущения выпуска в продуктивную эксплуатацию кода имеющего дефекты безопасности;

• Триажирование уязвимостей, проведение SCA-комплаенса для проектов;

• Поддержка Agile команд в области AppSec при регулярных релизах по короткому сроку релизного цикла, проведение Security Review;

• Участие в построении безопасных архитектур приложений.

Ты идеальный для нас кандидат, если у тебя есть::

• Опыт руководства, опыт построения и внедрения процессов безопасной разработки;

• Знание и опыт применения обширного перечня статических и динамических анализаторов, анализаторов зависимостей;

• Опыт работы с любым инструментом CI/CD (Jenkins, GitLab и пр.);

• Работа с различными Vulnerability management системами (DefectDojo, ArcherySec);

• Знание контейнеризации, принципов работы контейнеров и их безопасного взаимодействия;

• Опыт разработки на javaScript, typeScript, Java;

• Опыт в составлении внутренних нормативных требований по безопасности приложений на базе стандартов OWASP ASVS/MASVS, NIST-800, ISO 27001;

• Уверенное понимание OWASP TOP 10 2021 и OWASP TOP 10 proactive controls, CVE\CWE\CVSS.

Мы предлагаем:

• Работу в аккредитованной ИТ компании (актуально для всех действующих владельцев IT-ипотеки);
• Гибридный график работы и корпоративная техника;
• Заботу о здоровье: у нас есть ДМС и специальные условия для страхования семьи, стоматологии и ведения беременности;
• Программу адаптации: с первого дня работы простыми словами узнаешь о компании, коллегах, и что от тебя ждут в ближайшие три месяца;
• IT отсрочку от срочной службы;
• Скидки на продукты и услуги системы СБЕР.

Почему у нас классно работать:

• Большие планы: мы растем и развиваем все наши продукты в вертикали Группы Сбера, чтобы стать лидерами российского электронного документооборота;
• Большинство HR-процессов автоматизировано через КЭДО - все оперативно и просто;
• Непрерывные улучшения: используем новые идеи, методы и технологии.
• Развитие: у нас есть корпоративный портал для обучения – изучай онлайн то, что тебе нравится;
• Есть возможность расти внутри структуры текущей команды, или в других подразделениях.