Специалист по информационной безопасности (Application Security)

Мы ищем в команду Центра кибербезопасности Специалиста по информационной безопасности (Application Security).

Обязанности

• верификация результатов статического и композиционного анализа (SAST, SCA) и контроль устранения выявленных в ходе исследований дефектов/уязвимостей
• верификация потенциальных утечек конфиденциальной информации в коде (пароли, API-ключи и т.п.)
• углубленный анализ уязвимостей в поставляемом ПО на основе запросов от потребителей
• подготовка рекомендаций и оказание консультаций по устранению выявленных уязвимостей
• развитие практик и методологии SSDLC, пилотирование инструментов, ведение внутренней базы знаний
• участие в проработке и внедрении практик разработки безопасного программного обеспечения (РБПО), выполнение работ по оценке соответствия процессов Компании требованиям ГОСТ серии Разработка безопасного программного обеспечения (ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.)
• R&D - работа по внедрению ИИ для автоматизации процессов тестирования безопасности приложений.

Требования

• практический опыт работы с инструментами Application Security (Checkmarx, PT AI, Svace, Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy, Gitleaks, TruffleHog и т.п.)
• опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.)
• опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей
• углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них
• знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.)
• знания технологий виртуализации и контейнеризации, основ криптографии, а также протоколов и технологий (JWT, SSL/TLS, HMAC, PKI)
• знания нормативной регуляторики ФСТЭК России (Методика выявления уязвимостей и недекларированных возможностей, ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.).

Будет преимуществом:

• опыт сопровождения (или проведения) сертификационных испытаний СЗИ по линии ФСТЭК России или опыт аудита процессов Компании требованиям ГОСТ серии Разработка безопасного программного обеспечения
• успешный опыт по внедрению ИИ для автоматизации процессов тестирования безопасности приложений
• опыт работы разработчиком ПО.

Условия

• комфортный современный офис рядом с м. Тульская
• возможность выбрать удобный график – офис/гибрид
• ежегодный пересмотр зарплаты, годовая премия
• корпоративный спортзал и зоны отдыха
• более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
• программа адаптации IT Bootcamp
• расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
• ипотека для сотрудников выгоднее до 4%
• бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров.