Application Security Engineer

Дата размещения вакансии: 25.11.2024
Работодатель: Tilda Publishing
Уровень зарплаты:
з/п не указана
Город:
Москва
Требуемый опыт работы:
От 3 до 6 лет

Tilda — это международный продукт, который работает на стыке дизайна и программирования. Мы помогаем тысячам людей развивать свои проекты в digital среде.

Ищем Application Security /DevSecOps специалиста, который будет участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности, реализует процесс безопасной разработки (SSDLC) и внедрит автоматизированные инструменты сканирования.

Что нужно будет делать:

  • Реализовывать и поддерживать процесс безопасной разработки программного обеспечения (SSDLC):

    • Определять требований Git-flow для команд;

    • Внедрять практики Singed Commit, Signed Artifacts, Code Owners;

    • Внедрять SAST решения;

    • Внедрять Secrets Detection решения;

    • Внедрять SCA решения;

    • Внедрять DAST решения;

    • Внедрять средство оркестрации уязвимостей;

    • Писать и совершенствовать правила SAST/DAST и иных инструментов, направленных на анализ безопасности продуктов;

    • Поддерживать и совершенствовать существующие инструменты сканирования;

    • Помогать командам в моделировании угроз;

    • Проводить Security Review перед публикацией сервиса;

    • Проводить анализ уязвимостей.

  • Внедрять процессы Security Quality Gates;

  • Реализовывать процесс Secret Management;

  • Реализовывать процесс Vulnerability Management;

  • Участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности;

  • Проводить анализ защищенности существующих продуктов компании.

Что мы ожидаем:

  • Опыт поиска и устранения уязвимостей из OWASP Top 10;

  • Умение выявлять архитектурные ошибки и уязвимости бизнес логике;

  • Опыт работы с OWASP SAMM;

  • Опыт построения процессов SSDLC;

  • Понимаете принципы построения и работы веб-приложений;

  • Опыт работы с Github Actions, Github Workflow ;

  • Опыт работы с инструментами сканирования (одним из каждой категории):

    • SAST: Semgrep, SonarQube.

    • SCA: Dependency Track, Dependency Check.

    • Secret Detection: trufflehog, gitleaks.

    • DAST: OWASP ZAP, Nuclei.

Дополнительно приветствуем:

  • Умение читать и анализировать код на PHP;

  • Умение ориентироваться в документах по ФЗ-152 (и возможно GDPR), а также способствовать тому, чтобы код соответствовал изменениям в законодательстве;

  • Опыт получения сертификатов по информационной безопасности и защите персональных данных (например, ISO 27001).

    Что мы можем предложить:

  • Белую и своевременную заработную плату в зависимости от компетенций;
  • Официальное трудоустройство и все льготы аккредитованной ИТ-компании;
  • Современное рабочее оборудование и офис в самом центре Москвы;
  • Гибридный формат, гибкое начало рабочего дня;
  • Участие в проекте с многомиллионной аудиторией пользователей;
  • Возможность мыслить широко и влиять на результат;
  • Работу в команде профессиональных ребят;
  • ДМС со стоматологией с первых дней;
  • Корпоративные выплаты в случае важных семейных событий;
  • Участие в профильных конференциях и курсах за счет компании;
  • Возможность пройти бесплатное обучение от Школы Тильды по имеющимся направлениям.