Senior Application Security Engineer( REDMADROBOT )

компания "redmadrobot" в red_mad_robot мы создаём цифровые продукты, которыми пользуются миллионы людей, от маркетплейсов и экосистем до мобильных приложений и веб-порталов — и, возможно, ты один из них! помогаем компаниям в технологической трансформации и поддерживаем стартапы, которые создают наше общее будущее. что предстоит делать: формировать общее видение безопасного pipeline, адаптировать его под конкретный проект/команду; выстраивать onboarding процесс (включать команды в контур безопасной разработки); выстраивать процесс управления дефектами, идентифицированными в рамках разработки по; определять метрики безопасной разработки по, внедрять разработанные модели и поддерживать их в актуальном состоянии; взаимодействовать с командами по вопросам информационной безопасности (иб), управления уязвимостями; встраивать проверки по иб в pipeline команд; настраивать инструменты иб встроенные в pipeline; управлять секретами (искать секреты в git’e, реализации безопасных интеграций, маскировать секреты в ci/cd-системах); разрабатывать подходы по hardening/контролю доступа к используемым ресурсам devops контура; участвовать в проектах по внедрению новых инструментов иб с последующей интеграцией их в контур безопасности; готовить отчеты по результатам устранения уязвимостей. от тебя: понимание логики работы и возможностей следующих классов решений окружения devops контура: source code management (gitlab, github); ci/cd (git, teamcity); registry (nexus, artifactory); task tracker (jira); code analysis tools (sonarqube, semgrep, gitleaks, owasp dependency check, gosec, etc); vulnerability management (owasp defectdojo). понимание логики работы и возможностей инструментов безопасности, умение их настраивать/создавать политики/делать debug: sast (checkmarx, semgrep); oast (snyk); dast (berp); secret management (hashicorp vault); vulnerability assessment (nessus, repid7, rengine). знание основ git (git add, commit, push, fetch, pull и т.д.); умение разрабатывать и запускать образы контейнеров для встраивания их в ci/cd-процесс; знание yaml; знание и навыки работы с linux; общие знания по информационной безопасности, опыт выстраивания процесса управления уязвимостями; базовые знания любого языка программирования. чего ждать от роботов: работа в сильной команде, где ценят инициативу, договорённости и честную обратную связь. влиться и освоиться тебе поможет ментор. позже ты тоже сможешь стать ментором для других; развитие — наш пунктик: берёмся за сложные задачи, которые нас продвинут. проводим школы и интенсивы, чтобы прокачаться. зовём интересных гостей для развития кругозора. пользуемся бесплатной электронной библиотекой; всё по-честному: у нас белая зарплата и оформление в штат с первого дня, прозрачная система развития с персональным планом и дмс с хорошими условиями через полгода работы; и телу приятно: возможность работать в одном из наших офисов в москве, самаре, тольятти, иннополисе или в полностью удаленном формате.