С
Application security (ГигаЧат Бизнес)
Салют для Бизнеса
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии
Мы - команда ООО "Салют для бизнеса", дочерняя организация Сбера, мы занимаем лидирующие позиции в сфере коммерциализации технологии GenAI с продуктом GigaChat. Мы предлагаем полный цикл решений: LLM-модель GigaChat для локальной и облачной инсталляции, инфраструктуру для GenAI, платформу для разработки агентных систем, готовые GenAI-решения для быстрого старта в типовых задачах, реализацию уникальных клиентских кейсов, консалтинг по GenAI-трансформации. В своей работе мы помогаем нашим партнерам перейти от экспериментов с технологией к промышленному масштабированию, обеспечивая безопасность, адаптивность и экономическую выгоду.
Обязанности
•Выстраивать и развивать процессы безопасной разработки: SSDLC, security gates, требования к безопасной разработке;
•Внедрять и сопровождать security-инструменты в CI/CD-пайплайнах;
Настраивать и развивать проверки
•SAST;
•DAST;
•SCA;
•secret detection;
•container security;
•IaC / Kubernetes security.
•Анализировать результаты сканирований, валидировать сработки и готовить рекомендации для разработки;
•Работать с уязвимостями в исходном коде, зависимостях, Docker-образах и Kubernetes-конфигурациях;
•Проводить базовый black box / grey box анализ веб-приложений;
•Участвовать в публикации сервисов за WAF и настройке правил защиты;
•Внедрять и сопровождать secrets management.
•Участвовать в харденинге Kubernetes-кластеров, в том числе по CIS benchmarks;
•Консультировать разработчиков, DevOps и продуктовые команды по вопросам безопасной разработки;
•Подготавливать внутренние рекомендации, инструкции и регламенты по AppSec / DevSecOps.
Требования
•Опыт в Application Security / DevSecOps / информационной безопасности от 3 лет.
•Практический опыт внедрения SSDLC в процессы разработки;
•Опыт настройки security-проверок в CI/CD.
•Понимание OWASP Top 10 и типовых методов защиты веб-приложений;
•Опыт работы с SAST, DAST, SCA и secret detection;
•Опыт анализа уязвимостей в коде, зависимостях и контейнерных образах;
•Опыт работы с Docker и Kubernetes.
•Понимание Helm, GitOps-подхода, ArgoCD или аналогичных инструментов;
•Опыт работы с WAF;
•Умение разбираться в сработках сканеров и объяснять разработчикам, что именно нужно исправить;
•Базовые навыки scripting: Python / Bash.
•Умение работать с Linux и базовое понимание сетевой безопасности.
Будет плюсом
•Опыт работы с SonarQube, Dependency Track, Gitleaks, Trivy, OWASP ZAP, DefectDojo;
•Опыт внедрения HashiCorp Vault или другого secrets management решения;
•Опыт Kubernetes runtime security;
•Опыт работы с kube-bench, CIS benchmarks;
•Опыт работы с Terraform / OpenTofu;
•Опыт пентеста веб-приложений с использованием Burp Suite / ZAP;
•Опыт построения процессов AppSec с нуля;
•Английский на уровне чтения технической документации и выше.
Условия
•Достойная заработная плата + годовой бонус
•Сильная команда
•ДМС, с первого рабочего дня
•Работа в аккредитованной IT компании
•Льготная ипотека от Сбера
•Гибридный формат работы
•Локация: Москва, м. Цв. Бульвар