О компании
Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.
Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка.
Наша команда: более 900 сотрудников
Мы предлагает своим сотрудникам разнообразные стек технологий и области применения.
Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды.
Рабочие задачи:
-
Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST);
-
Проводить тонкую настройку инструментов и формировать пользовательские правила;
-
Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила;
-
Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний;
-
Формировать рекомендации по устранению недостатков и защите приложений;
-
Взаимодействовать с командами разработки по согласованию технического долга.
Ваш опыт, навыки и личные качества:
- Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.
- Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии.
- Понимание сетевой модели OSI, знание основных протоколов.
- Понимание того как должна быть устроена безопасная разработка.
- Знакомство с ГОСТ 56939.
- Знание особенностей веб разработки и меры по обеспечению ее безопасности.
- Знакомство с OWASP Top 10, ASVS, WSTG, MASTG.
- Понимание способов популярных атак на веб-приложения.
- Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0);
- Опыт разработки на языках программирования высокого уровня. Умение разбираться в чужом исходном коде.
- Понимание того как устроена современная разработка.
- Знакомство с системами контроля версий.
- Умение работать с Git.
- Понимание того как происходит сборка приложений.
- Знакомство с популярными сборщиками Gradle, Maven.
- Опыт работы с инструментами статического анализа кода (SAST).
- Опыт работы с инструментами анализа открытого ПО (OSA/SCA). Понимание SBOM.
- Опыт работы с инструментами динамического анализа веб приложений (DAST).
- Умение проходить лабораторные работы на Portswigger.
- Понимание основных принципов обеспечения безопасности REST API.
- Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность.
- Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based).
- Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости.
- Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения.
Мы предлагаем:
- Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования).
- Высокий профессионализм коллег и адекватное руководство.
- Официальное трудоустройство.
- Возможность работать дистанционно из любого города (по московскому времени).
- 5-дневная рабочая неделя.
- Качественное обучение по платформе и процессам компании.
- У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется.
- Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.