DevOps Engineer
генерация резюме под вакансию
сопроводительное письмо
описание
Команда развивает внутренние инструменты безопасности для разработки, внедряя решения для выявления проблем на разных этапах жизненного цикла создания программного обеспечения, включая анализ исходного кода, зависимостей, интерфейсов взаимодействия, мобильных приложений и процессов поставки.
задачи
- Развивать инструменты проверки безопасности приложений, встроенные в процесс разработки;
- Разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для анализа исходного кода, зависимостей, секретов, API и других артефактов;
- Проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки;
- Разрабатывать и поддерживать правила и автоматизацию для практик SAST, SCA, DAST, MAST;
- Интегрировать инструменты безопасности в secure SDLC и CI/CD;
- Проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений;
- Валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости;
- Помогать командам разработки устранять уязвимости, объясняя причины, риски и варианты исправления;
- Искать точки для автоматизации ручной экспертизы;
- Участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений.
требования
- Практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки программного обеспечения с переходом в безопасность;
- Уверенное владение языком программирования для разработки и автоматизации;
- Понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки;
- Опыт работы с инструментами и подходами SAST, SCA, secret scanning, API;
- Опыт интеграции проверок безопасности в CI/CD;
- Практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей для стеков Java, Go, Python, JavaScript/TypeScript, PHP, C/C++;
- Понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API;
- Понимание архитектур микросервисов, REST/gRPC, Kubernetes, контейнеризации;
- Умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить его до результата;
- Будет плюсом опыт разработки плагинов для IDE, линтеров, статических анализаторов, практический опыт в безопасности API, опыт построения корпоративных решений, знание подходов к проверке контрактов API, опыт моделирования угроз, знания в области безопасности мобильных приложений (OWASP Mobile Top 10, MASVS, MASTG), практический опыт анализа мобильных приложений (jadx, apktool, MobSF), участие в bug bounty, CTF или open-source проектах, опыт снижения доли ложных срабатываний, инструментальное владение AI для автоматизации.
условия
- Ежегодный пересмотр зарплаты, годовая премия;
- Расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа;
- Гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ;
- Корпоративный спортзал и зоны отдыха;
- Более 400 образовательных программ СберУниверситета;
- Программа адаптации и помощь руководителя на старте;
- Бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров;
- Вознаграждение за рекомендацию друзей в команду.
навыки
Если просят войти через iCloud, отправить коды из SMS, запустить код, что-то установить, перевести деньги или сделать что угодно, связанное с деньгами, не соглашайтесь: это признаки мошенничества.