Devsec ops

Команда развивает внутренние инструменты безопасности для разработки, внедряет проверки на разных этапах жизненного цикла: исходный код, зависимости, интерфейсы, мобильные приложения и процессы поставки.

• Развивать инструменты проверки безопасности приложений, встроенные в процесс разработки;
• Разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для анализа исходного кода, зависимостей, секретов, API и других артефактов;
• Проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки;
• Разрабатывать и поддерживать правила и автоматизацию для SAST, SCA, DAST, MAST и смежных направлений;
• Интегрировать инструменты безопасности в secure SDLC и CI/CD так, чтобы они были полезны разработчикам;
• Проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений;
• Валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости;
• Помогать командам разработки устранять уязвимости, объяснять причины, риски и варианты исправления;
• Искать точки, где ручную экспертизу можно превратить в автоматизированную проверку;
• Участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений.

• Практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки с переходом в безопасность;
• Уверенное владение хотя бы одним языком программирования для разработки и автоматизации;
• Понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки;
• Опыт работы с инструментами SAST, SCA, secret scanning, API;
• Опыт интеграции проверок безопасности в CI/CD;
• Практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей для Java, Go, Python, JavaScript/TypeScript, PHP, C/C++;
• Хорошее понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API;
• Понимание микросервисов, REST/gRPC, Kubernetes, контейнеризации;
• Умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить до результата;
• Будет плюсом опыт разработки плагинов для IDE и линтеров, безопасности API, построения корпоративных решений безопасности, проверки контрактов API, моделирования угроз, безопасности мобильных приложений с jadx и MobSF, участие в bug bounty, CTF или open-source, снижение ложных срабатываний.

• Ежегодный пересмотр зарплаты, годовая премия;
• Корпоративный спортзал и зоны отдыха;
• Более 400 образовательных программ СберУниверситета;
• Программа адаптации и помощь руководителя;
• Расширенный ДМС, льготное страхование для семьи, корпоративная пенсионная программа;
• Гибкий дисконт по ипотечному кредиту;
• Бесплатная подписка СберПрайм+, скидки у партнеров;
• Вознаграждение за рекомендацию друзей.