Инженер по безопасности

Наша команда следит за безопасностью платформы разработки Spirit — экосистемы решений, которая помогает десяткам тысяч разработчиков быстрее и безопаснее выпускать продукты Т-Банка. Еще мы разрабатываем продукты безопасности, которые встроены в SDLC и нашу платформу.

Как мы повышаем защищенность платформы

• Используем Secure-by-Design-компоненты платформы для предотвращения дефектов. Проектируем и внедряем масштабируемые сервисы для безопасной сборки, доставки и эксплуатации приложений — от Supply Chain до Runtime.
• Полностью автоматизируем жизненный цикл дефектов — от обнаружения и применения политик до триажа и исправления. Не ограничиваемся интеграцией сканеров, а отвечаем за весь DevEx при взаимодействии с нашими решениями.

Обязанности

• Проектировать архитектуру безопасности платформы разработки, охватывая вопросы безопасности цепочки поставок, защиту репозиториев артефактов (Artifactory, SLSA, in-toto), защиту CI/CD-пайплайнов, безопасность сред выполнения.
• Вместе с командой проводить Security-Design-ревью на всех этапах разработки, таких как построение моделей угроз, анализ архитектурных решений, внедрение принципов Secure by Design и постепенная интеграция в процесс разработки.
• Проверять применимость эксплойтов против приоритетных особо критичных уязвимостей.
• Взаимодействовать с ответственными командами и консультировать по устранению уязвимостей.
• Автоматизировать собственную деятельность — Python, Golang, SQL.

Мы ждем, что вы

• Имеете опыт работы в проектировании и дизайне highload-продуктов, знаете концепции и паттерны проектирования отказоустойчивых и масштабируемых систем.
• Умеете применять современные подходы в аутентификации и авторизации, управлять ролями и доступами.
• Разбираетесь в протоколах аутентификации и решениях по их реализации: WebAuthn, OIDC, OAuth, FIDO2, MFA, 3FA, MPA, Ephemeral Accounts, PAM.
• Проводили инфраструктурные или прикладные пентесты, offensive-сертификацию — стек offensive security или ec-council.
• Понимаете технологии защиты сети и сетевых стеков: TCP/IP, HTTP, gRPC, mTLS, IPSec, QUICK.
• Знаете и понимаете методологию формирования моделей угроз: OCTAVE, PASTA, Trike, STRIDE, VAST и другие.