AppSec инженер / DevSecOps

Департамент информационных технологий Москвы создает и развивает цифровые проекты, которые делают столицу комфортнее, а жизнь горожан — удобнее и мобильнее. Для системы управления столицей технологии — это незаменимый инструмент, который применяется во всех отраслях экономики, городского хозяйства и социальной сферы. А для миллионов горожан — повседневный помощник, который позволяет получать сотни услуг и сервисов в удобном цифровом формате в режиме 24/7.

Продукт «Госуслуги Москвы» занимается реализацией проектов по переводу услуг и сервисов в электронный вид, а также обеспечением функционирования и развития комплекса общегородских информационных систем, с использованием которых обеспечивается предоставление государственных услуг в электронной форме и в многофункциональных центрах, поддержка инфраструктуры электронного правительства Москвы.

Что нужно делать:

• Заниматься встраиванием практик Application Security в SDLC (Secure SDLC) совместно с командами разработки и эксплуатации
• Внедрять и сопровождать инструменты SAST / DAST / SCA / IAST, анализ и триаж результатов сканирования
• Интегрировать процессы управления уязвимостями с системами трекинга задач (Jira) и специализированными платформами на подобии Faraday и DefectDojo
• Проводить threat modeling для разрабатываемых и эксплуатируемых систем
• Анализировать уязвимости в приложениях, API и микросервисной архитектуре, сопровождение их устранения
• Контролировать безопасности CI/CD пайплайнов (GitLab CI, GitHub Actions и др.), интеграция security-checks
• Формировать и сопровождать обязательные требования и рекомендации по безопасности приложений
• Взаимодействовать с командами DevOps, разработчиками и ИБ по вопросам безопасности приложений
• Консультировать команду разработки по вопросам безопасной архитектуры и использования библиотек
• Заниматься поддержкой разработчиков и платформы на уровне 3-линии по вопросам AppSec

Какие знания и навыки нам важны:

• Опыт работы в области Application Security или Secure Software Development
• Понимание принципов работы современных веб-приложений, API (REST/gRPC), микросервисной архитектуры
• Практический опыт работы с SAST / DAST / SCA инструментами (SonarQube, Trivy, MobSF, Checkmarx, Fortify, OWASP ZAP, Dependency-Check и т.п.)
• Знание OWASP Top 10, ASVS, SAMM, CWE, CVE и практик их применения
• Опыт интеграции security-проверок в CI / CD и работы с Git-репозиториями
• Базовое понимание контейнеризации и Kubernetes с точки зрения безопасности будет плюсом
• Умение читать и анализировать код (Java / Python / Go / JavaScript — хотя бы на уровне понимания логики)
• Опыт работы с уязвимостями сторонних библиотек и dependency management
• Навыки коммуникации с командами разработки и умение объяснять риски «не языком ИБ»

Что мы предлагаем:

• Оформление по ТК в аккредитованной IT-компании
• Конкурентная заработная плата и квартальные премии
• Удаленный формат работы на территории РФ
• График работы 5/2 с 9 до 18 (возможны редкие визиты в офис, не более 1 раза в месяц)
• Интересные задачи и ресурсы для их реализации
• Материальную помощь в случае важных событий в жизни
• Корпоративное обучение у топовых провайдеров и доступ к онлайн-библиотеке
• Корпоративные тренировки и спортивные активности: бег, футбол, волейбол, баскетбол, теннис и другие
• Комьюнити по интересам
• Скидки от партнеров на ДМС, связь, развлечения, подарки, спорт и т.д.

Стань частью команды ДИТ Москвы и воплощай в жизнь цифровые проекты столицы!