Погружаться в архитектуру, бизнес-логику и технологический стек продуктов компании, выступать экспертной точкой по вопросам безопасности приложений
Проводить анализ защищенности приложений и сервисов на этапах проектирования, разработки и сопровождения
Выявлять уязвимости и недостатки бизнес-логики, предлагать варианты устранения и сопровождать внедрение решений
Проводить threat modeling для новых и уже существующих систем, оценивать риски и определять меры защиты
Выполнять архитектурное ревью безопасности, формировать рекомендации по безопасной архитектуре и сопровождать их реализацию
Организовывать и развивать практики и процессы Secure SDLC / DevSecOps, формировать стратегию развития направления AppSec, координировать защиту продуктов и представлять направление во взаимодействии с руководством, аудиторами и регуляторами
Выбирать, внедрять и развивать инструменты защиты кода и приложений, встраивать их в CI/CD и процессы разработки
Организовывать и совершенствовать процессы управления уязвимостями, приоритизации и контроля устранения недостатков безопасности
Разрабатывать нормативную, методическую и рабочую документацию по безопасной разработке
Транслировать регуляторные и комплаенс-требования в конкретные технические меры и требования к продуктам и процессам
Участвовать в аудитах, проверках, сертификационных активностях и расследовании инцидентов безопасности при необходимости
Взаимодействовать с командами разработки, DevOps, архитекторами, продуктовыми командами и другими заинтересованными сторонами
Что для этого нужно:
Опыт работы в AppSec / Product Security / DevSecOps на уровне senior
Глубокое понимание архитектуры приложений, API, микросервисов и типовых рисков безопасности современных систем
Хорошее знание OWASP Top 10, OWASP API Top 10, CWE и практический опыт применения этих знаний
Опыт анализа защищенности бизнес-логики, проведения Security by Design и архитектурного ревью
Практический опыт threat modeling с использованием STRIDE, PASTA, Attack Trees или аналогичных подходов
Опыт работы с SAST, DAST, SCA, fuzzing и другими инструментами AppSec, понимание их ограничений и сценариев применения
Опыт внедрения и развития процессов Secure SDLC / DevSecOps и интеграции проверок безопасности в CI/CD
Опыт выстраивания процессов управления уязвимостями и взаимодействия с командами разработки по их устранению
Знание требований ФСТЭК, 152-ФЗ и других применимых регуляторных требований в части безопасной разработки ПО
Опыт подготовки документации, участия в аудитах, проверках и сертификационных мероприятиях
Навыки программирования на Python, Go, Ruby или аналогичном языке для автоматизации и разработки внутренних AppSec-инструментов
Практический опыт работы с Linux, Git, GitLab, Docker, Kubernetes, Terraform/Ansible, Vault, облачной и сетевой инфраструктурой будет преимуществом
Опыт настройки логирования, анализа событий ИБ и участия в расследовании инцидентов безопасности
Умение четко доносить риски, рекомендации и обоснования до технических и нетехнических команд
Будет плюсом:
Опыт координации команды, направления или функции AppSec / Product Security
Опыт построения и развития процесса SSDLC / DevSecOps на уровне нескольких продуктов или всей компании
Опыт формирования стратегии, roadmap, метрик и приоритетов AppSec-направления
Опыт взаимодействия с руководством, внешними аудиторами и регуляторами
Навыки people management: планирование загрузки, постановка целей, развитие сотрудников, участие в найме
Что предлагаем:
Работу в аккредитованной IT компании
Уютный офис в историческом центре Москвы (м. Киевская, м. Фрунзенская)
Интересные задачи и современный стек технологий
Выдадим необходимую технику для работы
Возможность повлиять на развитие продукта
Полное белое оформление по ТК РФ
ДМС после прохождения испытательного срока
Частичная компенсация затрат на спорт/отдых после прохождения испытательного срока.
