Application Security Engineer/специалист по информационной безопасности

компания "spice agency" ищу senior application security engineer в компанию - создателя эталонных цифровых продуктов: мобильные приложения, рабочие инструменты для сотрудников и веб-сервисы, которые задают правила развития диджитал в россии. что предстоит делать: формировать общее видение безопасного pipeline, адаптировать его под конкретный проект/команду; выстраивать onboarding процесс (включать команды в контур безопасной разработки, адаптировать pipeline под конкретную команду); выстраивать процесс управления дефектами, идентифицированными в рамках разработки по; определять метрики безопасной разработки по, внедрять разработанные модели и поддерживать их в актуальном состоянии; взаимодействовать с командами по вопросам использования инструментария информационной безопасности (иб), управления уязвимостями, общим вопросам иб; настраивать инструменты иб встроенные в pipeline; встраивать проверки по иб в pipeline команд; управлять секретами (искать секреты в git’e, реализации безопасных интеграций, маскировать секреты в ci/cd-системах); разрабатывать подходы по hardening/контролю доступа к используемым ресурсам devops контура; участвовать в проектах по внедрению новых инструментов иб с последующей интеграцией их в контур безопасности; готовить отчеты по результатам устранения уязвимостей. от тебя: понимание логики работы и возможностей следующих классов решений окружения devops контура: source code management (gitlab, github); ci/cd (git, teamcity); registry (nexus, artifactory); task tracker (jira); code analysis tools (sonarqube, semgrep, gitleaks, owasp dependency check, gosec, etc); vulnerability management (owasp defectdojo). понимание логики работы и возможностей инструментов безопасности, умение их настраивать/создавать политики/делать debug: sast (checkmarx, semgrep); oast (snyk); dast (berp); secret management (hashicorp vault); vulnerability assessment (nessus, repid7, rengine). знание основ git (git add, commit, push, fetch, pull и т.д.); умение разрабатывать и запускать образы контейнеров для встраивания их в ci/cd-процесс; знание yaml; знание и навыки работы с linux; общие знания по информационной безопасности, опыт выстраивания процесса управления уязвимостями; базовые знания любого языка программирования для возможности получения данных с последующим parse и/или систем с использованием доступных api (обязательно) что мы предлагаем: работа в сильной команде, где ценят инициативу, договорённости и честную обратную связь. влиться и освоиться тебе поможет ментор. позже ты тоже сможешь стать ментором для других; проводим школы и интенсивы, чтобы прокачаться. зовём интересных гостей для развития кругозора. пользуемся бесплатной электронной библиотекой; белая зарплата и оформление в штат с первого дня, прозрачная система развития с персональным планом и дмс с хорошими условиями через полгода работы; формат работы на выбор : офис / гибрид/ удаленка