С

Application security (ГигаЧат Бизнес)

Салют для Бизнеса
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии

Мы - команда ООО "Салют для бизнеса", дочерняя организация Сбера, мы занимаем лидирующие позиции в сфере коммерциализации технологии GenAI с продуктом GigaChat. Мы предлагаем полный цикл решений: LLM-модель GigaChat для локальной и облачной инсталляции, инфраструктуру для GenAI, платформу для разработки агентных систем, готовые GenAI-решения для быстрого старта в типовых задачах, реализацию уникальных клиентских кейсов, консалтинг по GenAI-трансформации. В своей работе мы помогаем нашим партнерам перейти от экспериментов с технологией к промышленному масштабированию, обеспечивая безопасность, адаптивность и экономическую выгоду.

Обязанности
Выстраивать и развивать процессы безопасной разработки: SSDLC, security gates, требования к безопасной разработке;
Внедрять и сопровождать security-инструменты в CI/CD-пайплайнах;
Настраивать и развивать проверки
SAST;
DAST;
SCA;
secret detection;
container security;
IaC / Kubernetes security.
Анализировать результаты сканирований, валидировать сработки и готовить рекомендации для разработки;
Работать с уязвимостями в исходном коде, зависимостях, Docker-образах и Kubernetes-конфигурациях;
Проводить базовый black box / grey box анализ веб-приложений;
Участвовать в публикации сервисов за WAF и настройке правил защиты;
Внедрять и сопровождать secrets management.
Участвовать в харденинге Kubernetes-кластеров, в том числе по CIS benchmarks;
Консультировать разработчиков, DevOps и продуктовые команды по вопросам безопасной разработки;
Подготавливать внутренние рекомендации, инструкции и регламенты по AppSec / DevSecOps.
Требования
Опыт в Application Security / DevSecOps / информационной безопасности от 3 лет.
Практический опыт внедрения SSDLC в процессы разработки;
Опыт настройки security-проверок в CI/CD.
Понимание OWASP Top 10 и типовых методов защиты веб-приложений;
Опыт работы с SAST, DAST, SCA и secret detection;
Опыт анализа уязвимостей в коде, зависимостях и контейнерных образах;
Опыт работы с Docker и Kubernetes.
Понимание Helm, GitOps-подхода, ArgoCD или аналогичных инструментов;
Опыт работы с WAF;
Умение разбираться в сработках сканеров и объяснять разработчикам, что именно нужно исправить;
Базовые навыки scripting: Python / Bash.
Умение работать с Linux и базовое понимание сетевой безопасности.
Будет плюсом
Опыт работы с SonarQube, Dependency Track, Gitleaks, Trivy, OWASP ZAP, DefectDojo;
Опыт внедрения HashiCorp Vault или другого secrets management решения;
Опыт Kubernetes runtime security;
Опыт работы с kube-bench, CIS benchmarks;
Опыт работы с Terraform / OpenTofu;
Опыт пентеста веб-приложений с использованием Burp Suite / ZAP;
Опыт построения процессов AppSec с нуля;
Английский на уровне чтения технической документации и выше.
Условия
Достойная заработная плата + годовой бонус
Сильная команда
ДМС, с первого рабочего дня
Работа в аккредитованной IT компании
Льготная ипотека от Сбера
Гибридный формат работы
Локация: Москва, м. Цв. Бульвар
Технологии и навыки
AI-помощник
Источникhh.ru
Опубликовано6 дн назад
Просмотры0
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.