ООО "ВиаМоби" - группа компаний, занимающихся разработкой и поддержкой мобильных сервисов для операторов связи в РФ и СНГ.
Мы создаем инновационные и хорошо спроектированные продукты, которыми пользуются уже более 7 000 000 пользователей. Вместе с ростом числа пользователей увеличивается количество операторов, становящихся нашими партнерами.
Полезность сервисов и удобство их использования - наши основные
приоритеты.
Мы расширяемся и ищем в команду главного инженера по безопасной разработке, который будет выполнять задачи по безопасной разработке, внедрять SSDLC/DevSecOps-практики, снижать риски уязвимостей в продуктах, автоматизиовать проверку безопасности в CI/CD, повышать зрелость процессов разработки и защиты приложений.
Обязанности
•Построение и развитие процесса безопасной разработки;
•Внедрение DevSecOps-практик в процессы разработки;
•Автоматизация проверок безопасности в CI/CD;
•Анализ безопасности web-приложений, backend/frontend-компонентов и REST API;
•Работа с уязвимостями: выявление, анализ, приоритизация, постановка задач, контроль исправления и ретест;
•Проведение security review архитектуры, API, механизмов авторизации, аутентификации, хранения данных и интеграций;
•Подбор, внедрение и сопровождение инструментов SAST, DAST, SCA, secret scanning, container scanning, IaC scanning;
•Анализ защищённости приложений;
•Формирование требований к безопасной разработке и логированию событий безопасности;
•Анализ событий и логов в Kibana/ELK;
•Подготовка документации, инструкций, чек-листов и отчётов;
•Консультирование разработчиков, DevOps, QA и продуктовых команд;
•Развитие культуры безопасной разработки в компании.
Требования
•Опыт в AppSec/DevSecOps/Secure SDLC;
•Понимание OWASP Top 10;
•Понимание web application security и REST API security;
•Опыт работы с SAST/SCA/DAST/secret scanning;
•Опыт внедрения проверок безопасности в CI/CD;
•Умение читать код и объяснять разработчикам найденные уязвимости.
•Понимание типовых рисков PHP, Python, Go, Vue-приложений;
•Понимание XSS, SSRF, IDOR, нарушение контроля доступа, небезопасная десериализация;
•Опыт работы с Git и GitLab/GitHub/Bitbucket;
•Понимание принципов безопасной аутентификации и авторизации;
•Умение анализировать REST API, роли, права, токены, scopes, JWT, access control;
•Опыт управления уязвимостями и постановки задач на исправление.
Будет плюсом
•Опыт внедрения SSDLC с нуля;
•Опыт threat modeling;
•Знание OWASP ASVS, OWASP SAMM, OWASP Cheat Sheets;
•Опыт работы с MariaDB и анализом рисков БД;
•Опыт работы с Kibana/ELK/OpenSearch;
•Опыт работы с Docker и Kubernetes;
•Опыт работы с Kafka, ClickHouse;
•Опыт с GitLab CI/CD, GitHub Actions, Jenkins, TeamCity, Bitbucket;
•Опыт с Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog и т.п.;
•Опыт написания внутренних стандартов безопасной разработки;
•Опыт обучения разработчиков;
•Желание развивать MLSecOps/AI Security-практики: безопасность ML/AI-сервисов, LLM-интеграций, prompt injection, data leakage, безопасность моделей, данных и ML-пайплайнов.
Стек проекта
PHP (Laravel), Python, Go, Vue, REST API, MariaDB, Git, GitLab/GitHub/Bitbucket, GitLab CI/CD/GitHub Actions/Jenkins, Docker, Kubernetes, Kibana, ELK/OpenSearch, SAST, DAST, SCA, secret scanning, container scanning, IaC scanning, Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog, OpenAPI/Swagger, Jira, Confluence/Teamly.
Условия
•Официальное трудоустройство в аккредитованной ИТ компании;
•Удаленный формат работы с гибким началом дня;
•Адекватное руководство без бюрократии;
•Возможность участия в создании продукта для сотен тысяч пользователей;
•Корпоративы, подарки к праздникам;
•Профессиональный и карьерный рост.
Стань частью команды ВиаМоби!