Специалист по безопасной разработке, инженер SSDLC

З/п не указана
Опыт работы: От 3 до 6 лет
График работы: Полный день
Занятость: Полная занятость
Компания: РАСЧЕТНЫЕ РЕШЕНИЯ
АО «Расчетные решения» – дочерняя структура ПАО Сбербанк, аккредитованная ИТ-компания, разрабатывающая Отечественное ПО, которое предоставляет комплексные решения для органов государственной власти, а также для муниципальных и частных компаний по организации безналичной системы оплаты с созданием полноценной инфраструктуры в различных социальных сферах.

Сейчас нашей команде необходим Специалист по безопасной разработке, который готов принимать активное участие в развитии компании и ее проектов.

Обязанности:
  • имплементация SSDLC, определение требований по безопасной разработке, контроль их выполнения;

  • моделирование угроз и формирование требований безопасности;
  • внедрение, настройка и использование инструментов безопасной разработки (SAST, DAST, SCA/OSA, др.), анализ отчетов с результатами работы этих инструментов;
  • проведение анализа безопасности разрабатываемого программного обеспечения и его архитектуры, выявление уязвимостей;
  • осуществление контроля устранение обнаруженных уязвимостей и консультация по вопросам безопасности;
  • участие в расследовании инцидентов информационной безопасности;
  • сопровождение внешних тестирований на проникновение.
Технологический стек:
  • фреймворки: aiohttp, sqlalchemy, asyncpg, poetry, django, websockets, react, socket.io;
  • журналирование, мониторинг: prometheus, grafana, elasticsearch;
  • контейнеризация и доставка: docker, dockerize, docker-compose, kubernetes, gitlab-runner, ansible.
Требования:
  • знание и понимание применимых методологий, стандартов и практик в области безопасной разработки;

  • практический опыт проведения анализа защищенности веб-приложений (black/gray/white box), понимание принципов защиты веб-приложений и умение исправлять найденные уязвимости на архитектурном уровне;

  • понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.);

  • умение разбираться в чужом коде (Python, JavaScript);

  • навыки работы с инструментами SAST, DAST и др.;

  • понимание современных процессов и практик разработки ПО: CI/CD, SDLC, DevOps.

Будет преимуществом:
  • языки: python3, javascript, С#;
  • образование (курсы) в области application security, ethical hacking, penetration testing;
  • опыт участия в Bug Bounty.
Условия:
  • оформление по ТК РФ, годовое премирование;

  • возможность перехода на гибридный формат после успешного прохождения испытательного срока, сокращенный рабочий день по пятницам;

  • возможность вертикального и горизонтального роста, обучения за счёт компании для повышения своей квалификации;

  • доступ к электронной библиотеке Литресс;

  • ДМС, скидки и бонусы от ПАО Сбербанк.

Хочу откликнуться
<
>