Инженер по безопасности приложений

Ищем инженера по безопасности приложений в команду, которая развивает внутренние инструменты безопасности для разработки. Это роль на стыке безопасности приложений, разработки и DevSecOps: вы будете не только находить риски, но и превращать требования безопасности в удобные автоматизированные проверки, встроенные в повседневный процесс разработки. Команда развивает и внедряет инструменты, которые помогают выявлять проблемы безопасности на разных этапах жизненного цикла разработки: на уровне исходного кода, зависимостей, интерфейсов взаимодействия, мобильных приложений и процессов поставки. Роль предполагает заметную инженерную составляющую: проектирование проверок, исследование подходов, интеграции и развитие корпоративных решений для практик SAST, SCA, DAST, MAST и смежных направлений.

Тебе предстоит:

• развивать инструменты проверки безопасности приложений, встроенные в процесс разработки
• разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для различных классов задач: анализ исходного кода, зависимостей, секретов, API и других артефактов разработки
• проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки
• разрабатывать и поддерживать правила и автоматизацию для практик SAST, SCA, DAST, MAST и смежных направлений
• интегрировать инструменты безопасности в secure SDLC и CI/CD так, чтобы они были полезны разработчикам и не создавали лишних затруднений в работе
• проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений на ранних этапах
• валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости по уровню технических и бизнес-рисков для настройки правил и автоматизации
• помогать командам разработки устранять уязвимости: объяснять причины, риски и варианты исправления понятным инженерным языком
• искать точки, где ручную экспертизу можно превратить в автоматизированную проверку
• участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений в зависимости от потребностей команды и компании.

Что для нас важно:

• практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки программного обеспечения с заметным переходом в направление безопасности
• уверенное владение хотя бы одним языком программирования для разработки и автоматизации: Python/Go/Java будут преимуществом
• понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки
• опыт работы с инструментами и подходами из областей SAST/SCA/secret scanning/API
• опыт интеграции проверок безопасности в CI/CD
• практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей хотя бы для части из следующих стеков: Java, Go, Python, JavaScript/TypeScript, PHP, C/C++
• хорошее понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API
• понимание современных архитектур: микросервисы, REST/gRPC, Kubernetes, контейнеризация
• умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить его до рабочего результата.

Будет плюсом:

• опыт разработки или доработки плагинов для IDE, линтеров, статических анализаторов или внутренних инструментов для разработчиков
• практический опыт в безопасности API
• опыт построения корпоративных решений или внутренних платформ безопасности
• знание подходов к проверке контрактов API и соответствия реализации спецификации
• опыт работы с подходами к моделированию угроз
• знания в области безопасности мобильных приложений: OWASP Mobile Top 10, MASVS, OWASP MASTG
• практический опыт анализа и тестирования безопасности мобильных приложений с использованием инструментов вроде jadx, apktool, MobSF и аналогичных
• участие в bug bounty, CTF или open-source проектах
• опыт поиска и снижения доли ложных срабатываний в инструментах безопасности.

Что важно в этой роли:

• умение говорить с разработчиками на одном языке и помогать им решать проблему, а не просто передавать найденные замечания
• инженерный склад мышления: для нас важно не только увидеть риск, но и встроить защиту в процесс так, чтобы она реально работала в масштабе
• способность балансировать между глубиной анализа безопасности и удобством для внутренних пользователей инструментов.

Мы предлагаем:

• комфортный современный офис
• офисный формат работы
• ежегодный пересмотр зарплаты, годовая премия
• корпоративный спортзал и зоны отдыха
• более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
• программа адаптации и помощь руководителя на старте
• расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
• гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ
• бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров
• вознаграждение за рекомендацию друзей в команду Сбера.