Эксперт по безопасной разработке (DevSecOps)

Дата размещения вакансии: 18.12.2024
Работодатель: MerlionTech
Уровень зарплаты:
з/п не указана
Город:
Москва
Требуемый опыт работы:
От 3 до 6 лет

О компании

Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.
Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка.

Наша команда: более 900 сотрудников

Мы предлагает своим сотрудникам разнообразные стек технологий и области применения.

Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды.

Рабочие задачи:

  • Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST);

  • Проводить тонкую настройку инструментов и формировать пользовательские правила;

  • Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила;

  • Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний;

  • Формировать рекомендации по устранению недостатков и защите приложений;

  • Взаимодействовать с командами разработки по согласованию технического долга.

Ваш опыт, навыки и личные качества:

  • Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.
  • Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии.
  • Понимание сетевой модели OSI, знание основных протоколов.
  • Понимание того как должна быть устроена безопасная разработка.
  • Знакомство с ГОСТ 56939.
  • Знание особенностей веб разработки и меры по обеспечению ее безопасности.
  • Знакомство с OWASP Top 10, ASVS, WSTG, MASTG.
  • Понимание способов популярных атак на веб-приложения.
  • Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0);
  • Опыт разработки на языках программирования высокого уровня. Умение разбираться в чужом исходном коде.
  • Понимание того как устроена современная разработка.
  • Знакомство с системами контроля версий.
  • Умение работать с Git.
  • Понимание того как происходит сборка приложений.
  • Знакомство с популярными сборщиками Gradle, Maven.
  • Опыт работы с инструментами статического анализа кода (SAST).
  • Опыт работы с инструментами анализа открытого ПО (OSA/SCA). Понимание SBOM.
  • Опыт работы с инструментами динамического анализа веб приложений (DAST).
  • Умение проходить лабораторные работы на Portswigger.
  • Понимание основных принципов обеспечения безопасности REST API.
  • Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность.
  • Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based).
  • Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости.
  • Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения.

Мы предлагаем:

  • Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования).
  • Высокий профессионализм коллег и адекватное руководство.
  • Официальное трудоустройство.
  • Возможность работать дистанционно из любого города (по московскому времени).
  • 5-дневная рабочая неделя.
  • Качественное обучение по платформе и процессам компании.
  • У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется.
  • Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.