Специалист по информационной безопасности (Application Security)

SberTech
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии

Мы ищем в команду Центра кибербезопасности Специалиста по информационной безопасности (Application Security).

Обязанности
верификация результатов статического и композиционного анализа (SAST, SCA) и контроль устранения выявленных в ходе исследований дефектов/уязвимостей
верификация потенциальных утечек конфиденциальной информации в коде (пароли, API-ключи и т.п.)
углубленный анализ уязвимостей в поставляемом ПО на основе запросов от потребителей
подготовка рекомендаций и оказание консультаций по устранению выявленных уязвимостей
развитие практик и методологии SSDLC, пилотирование инструментов, ведение внутренней базы знаний
участие в проработке и внедрении практик разработки безопасного программного обеспечения (РБПО), выполнение работ по оценке соответствия процессов Компании требованиям ГОСТ серии Разработка безопасного программного обеспечения (ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.)
R&D - работа по внедрению ИИ для автоматизации процессов тестирования безопасности приложений.
Требования
практический опыт работы с инструментами Application Security (Checkmarx, PT AI, Svace, Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy, Gitleaks, TruffleHog и т.п.)
опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.)
опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей
углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них
знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.)
знания технологий виртуализации и контейнеризации, основ криптографии, а также протоколов и технологий (JWT, SSL/TLS, HMAC, PKI)
знания нормативной регуляторики ФСТЭК России (Методика выявления уязвимостей и недекларированных возможностей, ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.).
Будет преимуществом
опыт сопровождения (или проведения) сертификационных испытаний СЗИ по линии ФСТЭК России или опыт аудита процессов Компании требованиям ГОСТ серии Разработка безопасного программного обеспечения
успешный опыт по внедрению ИИ для автоматизации процессов тестирования безопасности приложений
опыт работы разработчиком ПО.
Условия
комфортный современный офис рядом с м. Тульская
возможность выбрать удобный график – офис/гибрид
ежегодный пересмотр зарплаты, годовая премия
корпоративный спортзал и зоны отдыха
более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
программа адаптации IT Bootcamp
расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
ипотека для сотрудников выгоднее до 4%
бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров.
Технологии и навыки
AI-помощник
Источникhh.ru
Опубликовано7 июл.
Просмотры0
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.