AppSec / Эксперт по безопасной разработке

Компании, работающие под брендом «Цитадель» - это аккредитованные IT-компании, специализирующиеся на производстве комплексных решений СОРМ для сбора всех видов данных на сетях мобильных и фиксированных операторов связи: голосового трафика, трафика передачи данных, статистических данных и служебной информации.

Мы интенсивно растем, развиваемся и ищем новых специалистов!

Чем предстоит заниматься:

• Проектирование и внедрение Secure SDLC для ПАК;
• Определение обязательных артефактов: требования по ИБ, модели угроз (в связке с архитектором ИБ), отчёты сканирований, протоколы разбора уязвимостей, критерии "готовности к поставке";
• Встраивание контрольных точек в проектный контур (PMO/stage-gate) и в инженерные практики (PR/CI);
• Организация практик и правил: SAST/сканирование зависимостей (SCA), secret scanning, базовые проверки конфигураций/Infrastructure-as-Code;
• Настройка процесса разбора уязвимостей: приоритизация, SLA на исправление по критичности и типам ПАК, контроль повторяемости дефектов;
• Управление бэклогом уязвимостей совместно с командами разработки;
• Запуск и развитие сети Security Champions в командах разработки/тестирования/сборки;
• Обучение: безопасной разработки, типовые ошибки, практики безопасной разработки и тестирования, "как читать результаты сканеров";
• Участие в разборе уязвимостей продукта и внесение улучшений в SDLC.

Что мы ждем от Вас:

• Опыт в AppSec / Secure SDLC: построение процессов, внедрение практик в команды разработки;
• Уверенное понимание: OWASP Top 10, безопасной разработки, модели угроз на прикладном уровне, типовые классы уязвимостей (auth/authz, инъекции, SSRF, deserialization, IDOR и т.д.);
• Практический опыт внедрения/эксплуатации классов инструментов: SAST, SCA, DAST, secret scanning;
• Опыт организации процесса управления уязвимостями: разбор, SLA, отчётность, исключения;
• Умение выстраивать взаимодействие с разработкой.

Будет плюсом:

• Опыт в компаниях, поставляющих “под ключ” решения (ПАК, on-prem, закрытые контуры);
• Опыт с SBOM/контролем состава ПО, secure supply chain практиками (на уровне процесса);
• Опыт проведения/заказа пентестов, организации регрессионных тестов безопасности;
• Опыт работы в условиях ограничений по выбору иностранных решений (open source/рынок РФ).

Критерии успеха (первые 3 месяца):

• Запущены и работают контрольные точки в проектах (минимум на приоритетных типах ПАК);
• Покрытие сканирований (SAST/SCA/secret scanning) — стабильно по большинству репозиториев/сборок;
• Налажен разбор уязвимостей + SLA на исправления; снижается доля критичных находок на поздних этапах;
• Сформирована сеть champions и базовая программа обучения.