Мы - команда AppSec, мы занимаемся обеспечением безопасности приложений Сбера: Внедряем DevSecOps, чтобы максимально прозрачно автоматизировать проверки безопасности в цикле разработки; Интегрируем и оптимизируем модные инструменты и практики (как OpenSource, так и коммерческие), чтобы код банковских приложений был безопасным; Пишем свои инструменты для автоматизации и поиска уязвимостей; Проводим пентесты чтобы найти новые вектора атак и баги бизнес-логики; Анализируем метрики чтобы скорректировать свои процессы и "держать руку на пульсе"; Сейчас нашими сервисами пользуются более 3000 команд Банка, мы имеем дело с разнообразным технологическим стеком - от ПО для терминалов до мобильных приложений, от монолитов до микросервисов, от php до Golang. Обязанности Ручной и автоматизированный поиск уязвимостей, участие в их разборе совместно с командами разработки, разработка PoC-эксплоитов; Адаптация OpenSource-инструментов и разработка собственных для автоматизации проверок безопасности (бизнес-логика, кастомные проверки); Улучшение имеющихся практик AppSec и внедрение новых; Совершенствование архитектуры технических процессов и взаимодействий в рамках цикла безопасной разработки. Требования Уверенное владение несколькими языками из списка и их основ распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C; Навыки скриптинга для автоматизации своих задач: Bash, Powershell; Уверенные знания по двум из направлений: Web, Mobile, Binary; Уверенные знания приемов митигации распространенных уязвимостей и безопасного программирования; Операционные системы Windows/Unix на уровне администратора; Умение настраивать и администрировать распространенные инструменты CI/CD; Уверенные знания практик DevSecOps/AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности; Уверенные знания векторов атак (на разных уровнях) на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты. Будет плюсом: Опыт работы с облачными технологиями, контейнерами: деплой, администрирование, безопасность; Написание правил для Checkmarx, CodeQL; Проведение собственных исследований, участие в BugBounty программах; Проведение аудита архитектуры проектов; Участие в СTF, наличие профильных сертификатов. Условия Работа над уникальным по масштабам и интересным проектом; Профессиональный рост в дружной команде профессионалов; Официальное оформление по ТК РФ; Достойная заработная плата (оклад + премии); ДМС с первого дня, возможность настройки персональных программ; Программа льготного кредитования (включая ипотеку) в Сбербанке; Дисконт-программы от компаний партнеров; Развитая система обучения: онлайн-курсы в Виртуальной школе Сбера и доступ к библиотеке, обучение в Корпоративном университете, тренинги, митапы и т.д.; Бесплатный фитнес-зал; Место работы: Кутузовский пр-т, 32.
Адрес
Москва