В Сбер требуется AppSec Tech Lead (Senior).
Обязанности:
- Совершенствование архитектуры технических процессов и взаимодействий в рамках цикла безопасной разработки
- Анализ различных решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности
- Улучшение имеющихся практик AppSec и внедрение новых
- Адаптация OpenSource-инструментов и разработка собственных для автоматизации проверок безопасности (бизнес-логика, кастомные проверки), встраивание в процессы DevOps
- Ручной и автоматизированный поиск уязвимостей и участие в их разборе совместно с командами разработки, разработка PoC-эксплоитов
Требования:
- Практический опыт проведения анализа приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты приложений и умение исправлять найденные уязвимости на архитектурном уровне
- Уверенные знания векторов атак (на разных уровнях) на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты
- Уверенные знания приемов митигации распространенных уязвимостей и безопасного программирования
- Уверенные знания практик DevSecOps/AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности
- Опыт работы с инструментами анализа безопасности приложений (SAST, DAST, SCA)
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 etc)
- Понимание принципов работы микросервисной архитектуры веб-приложений, знание ООП
- Уверенное владение несколькими языками из списка и их основ распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C
- Умение разбираться в чужом коде (Java, Scala, Kotlin, Python, PHP)
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD (SDLC, DevSecOps)
- Умение настраивать и администрировать распространенные инструменты CI/CD
- Операционные системы Windows/Unix на уровне администратора
Будет плюсом:
- Опыт работы с облачными технологиями, контейнерами: деплой, администрирование, безопасность
- Написание правил для Checkmarx, CodeQL
- Проведение собственных исследований, участие в BugBounty программах
- Проведение аудита архитектуры проектов
- Участие в СTF
Бонусы:
- Работа над уникальным по масштабам и интересным проектом
- Профессиональный рост в дружной команде профессионалов
- Официальное оформление по ТК РФ
- Достойная заработная плата (оклад + премии)
- ДМС с первого дня, возможность настройки персональных программ
- Программа льготного кредитования (включая ипотеку) в Сбербанке
- Дисконт-программы от компаний партнеров
- Развитая система обучения: онлайн-курсы в Виртуальной школе Сбера и доступ к библиотеке, обучение в Корпоративном университете, тренинги, митапы и т.д.
- Бесплатный фитнес-зал
- Место работы: Кутузовский пр-т, 32