AppSec DevSecOps Engineer

AppSec / DevSecOps, Ланит ЗП: до 300 000 на руки Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ». Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений. Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду! Мы не занимаемся «формальным комплаенсом ради галочки», а создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые действительно помогают бизнесу и делают продукты более конкурентоспособными. Как мы работаем Автоматизируем всё, что можно: от конвейеров и Golden Repository до ботов, которые предлагают фиксы прямо в GitLab. Собираем метрики и оцениваем эффективность процессов, а также их влияние на проекты с учётом найденных уязвимостей. Оцениваем риски, связанные с бизнес-логикой приложений, и демонстрируем бизнесу ценность работы в области информационной безопасности. Обучаем сотрудников инструментам и навыкам, которые помогают расти как в глубину, так и в ширину, развивая смежные компетенции. У каждого инженера есть индивидуальный план развития. Управляем своим backlog и выстраиваем эффективное взаимодействие как внутри команды, так и с заказчиками. Что предстоит делать - Внедрять практики security by design в продуктовые команды. - Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker). - Реализовывать security и quality gates, secret management и vulnerability management. - Писать и кастомизировать тесты для CI. - Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative. - Интегрировать технические решения для использования сценариев Golden Repository. - Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo. - Подготавливать и анализировать метрики для контроля поставок кода на базе VMP. - Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры. - Проводить security code review сервисов перед релизом. - Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов. Что мы ждём от вас - Умение находить и устранять уязвимости из OWASP Top 10 (не только веб). - Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck. - Понимание принципов построения SSDLC. - Навыки работы с PoC для доказательной базы. - Опыт автоматизации процессов через API (например, с использованием Swagger). - Опыт внедрения процедур безопасной разработки. - Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др. - Умение работать с конфигурациями на YAML и писать сценарии. - Знание архитектурных паттернов. - Понимание сетей и интеграции инструментов безопасности в SDLC. Будет плюсом - Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике. - Понимание принципов STLC. - Знание работы веб-серверов (Nginx, Apache). - Знание протоколов MQTT, CoAP. - Опыт работы с песочницами. - Навыки разработки, анализа чужого кода и проведения security code review. - Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580. Контакты: @shisha_tania