Application Security Specialist

Обязанности:

• выстраивание отношений с владельцами продуктов и командами разработки в части взаимодействия по обеспечению кибербезопасности
• развитие и автоматизация проверок безопасности различных уровней (SAST / DAST / SCA / OSA / Dependency scanning /etc.)
• проведение анализа защищенности разрабатываемого ПО с использованием автоматизированных средств и ручного анализа
• настройка и эксплуатация инструментальных средств статического и динамического анализа исходного кода, интеграция проверок безопасности в процесс разработки
• организация обучения команд разработчиков и тестировщиков использованию инструментов обеспечения безопасности, повышение осведомленности команд о практиках безопасной разработки
• изучение лучших практик по безопасной разработке ПО (Application Security), оптимизация процессов в рамках работы практик и инструментов защиты приложений
• совершенствование архитектуры технических процессов и взаимодействий в рамках цикла безопасной разработки
• участие в приемо-сдаточных испытаниях автоматизированных систем, поиск ошибок и недостатков в реализации требований по обеспечению кибербезопасности, разработка и реализация решений для устранения недостатков

Требования:

• понимание принципов работы современных web-приложений, OS, процессов CI/CD и принципов безопасной разработки Secure-SDLC
• знание основ архитектурной реализации основных функциональных элементов: авторизация/аутентификация, хранение данных, работа с сетью, работа с БД, микросервисы
• знание и опыт применения ведущих методологий по анализу защищенности и тестированию на проникновение (MITRE ATT&CK, OWASP)
• понимание законодательства РФ в области ИБ и знание международных стандартов и практик (ISO 2700х, NIST 800 Series и пр.)
• уверенные знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности
• уверенное владение одним или несколькими языками программирования: Java, JS, Python, C/C++, Kotlin
• знание скриптовых языков программирования (для автоматизации рутинных задач, написания Proof of Concept)
• понимание векторов атак (на разных уровнях) на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты
• знание приемов митигации распространенных уязвимостей и методов безопасного программирования
• умение договариваться с различными участниками процесса (разработка / ИБ / эксплуатация) и отстаивать свою точку зрения
• умение структурировать информацию и грамотно излагать свои мысли

От нас все социальные гарантии и ещё:

• конкурентный доход (оклад и годовой бонус);
• красивый современный офис рядом с метро "Кутузовская", гибридный формат работы;
• интересные задачи и профессиональный рост;
• программа льготного кредитования в Сбере;
• дисконт-программы от компаний-партнеров Сбера (санаторно-курортные программы, такси, мобильная связь и многое другое);
• корпоративные мероприятия в офисе и на выезде;
• возможность получить бонус, рекомендовав друга на вакансию компании;
• новогодние подарки для детей;

• работодатель предоставляет корпоративную пенсионную программу негосударственного пенсионного обеспечения (совместное накопление на пенсию средств сотрудника и работодателя);

• материальная помощь при рождении детей и др. семейным обстоятельствам.

Забота о здоровье:

• ДМС;
• скидки по ДМС для родственников;
• кэшбэк до 30% стоимости вашего фитнес-абонемента;
• корпоративные тарифы в фитнес-центры;
• полис выезжающих за рубеж;
• бесплатная консультация врачей в рамках телемедицины;
• 3 персональных дня в году для личных целей.

Обучение:

• обучение в Корпоративном университете Сбера за счёт компании;
• дистанционное обучение на HR-платформе Пульс;
• бесплатная электронная библиотека более 1000 книг;
• участие в конференциях.