Главный инженер по безопасной разработке

ВиаМоби
Москва
🏢 Офис
Middle
Полная занятость
Описание вакансии

ООО "ВиаМоби" - группа компаний, занимающихся разработкой и поддержкой мобильных сервисов для операторов связи в РФ и СНГ.

Мы создаем инновационные и хорошо спроектированные продукты, которыми пользуются уже более 7 000 000 пользователей. Вместе с ростом числа пользователей увеличивается количество операторов, становящихся нашими партнерами.

Полезность сервисов и удобство их использования - наши основные

приоритеты.

Мы расширяемся и ищем в команду главного инженера по безопасной разработке, который будет выполнять задачи по безопасной разработке, внедрять SSDLC/DevSecOps-практики, снижать риски уязвимостей в продуктах, автоматизиовать проверку безопасности в CI/CD, повышать зрелость процессов разработки и защиты приложений.

Обязанности
Построение и развитие процесса безопасной разработки;
Внедрение DevSecOps-практик в процессы разработки;
Автоматизация проверок безопасности в CI/CD;
Анализ безопасности web-приложений, backend/frontend-компонентов и REST API;
Работа с уязвимостями: выявление, анализ, приоритизация, постановка задач, контроль исправления и ретест;
Проведение security review архитектуры, API, механизмов авторизации, аутентификации, хранения данных и интеграций;
Подбор, внедрение и сопровождение инструментов SAST, DAST, SCA, secret scanning, container scanning, IaC scanning;
Анализ защищённости приложений;
Формирование требований к безопасной разработке и логированию событий безопасности;
Анализ событий и логов в Kibana/ELK;
Подготовка документации, инструкций, чек-листов и отчётов;
Консультирование разработчиков, DevOps, QA и продуктовых команд;
Развитие культуры безопасной разработки в компании.
Требования
Опыт в AppSec/DevSecOps/Secure SDLC;
Понимание OWASP Top 10;
Понимание web application security и REST API security;
Опыт работы с SAST/SCA/DAST/secret scanning;
Опыт внедрения проверок безопасности в CI/CD;
Умение читать код и объяснять разработчикам найденные уязвимости.
Понимание типовых рисков PHP, Python, Go, Vue-приложений;
Понимание XSS, SSRF, IDOR, нарушение контроля доступа, небезопасная десериализация;
Опыт работы с Git и GitLab/GitHub/Bitbucket;
Понимание принципов безопасной аутентификации и авторизации;
Умение анализировать REST API, роли, права, токены, scopes, JWT, access control;
Опыт управления уязвимостями и постановки задач на исправление.
Будет плюсом
Опыт внедрения SSDLC с нуля;
Опыт threat modeling;
Знание OWASP ASVS, OWASP SAMM, OWASP Cheat Sheets;
Опыт работы с MariaDB и анализом рисков БД;
Опыт работы с Kibana/ELK/OpenSearch;
Опыт работы с Docker и Kubernetes;
Опыт работы с Kafka, ClickHouse;
Опыт с GitLab CI/CD, GitHub Actions, Jenkins, TeamCity, Bitbucket;
Опыт с Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog и т.п.;
Опыт написания внутренних стандартов безопасной разработки;
Опыт обучения разработчиков;
Желание развивать MLSecOps/AI Security-практики: безопасность ML/AI-сервисов, LLM-интеграций, prompt injection, data leakage, безопасность моделей, данных и ML-пайплайнов.
Стек проекта

PHP (Laravel), Python, Go, Vue, REST API, MariaDB, Git, GitLab/GitHub/Bitbucket, GitLab CI/CD/GitHub Actions/Jenkins, Docker, Kubernetes, Kibana, ELK/OpenSearch, SAST, DAST, SCA, secret scanning, container scanning, IaC scanning, Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog, OpenAPI/Swagger, Jira, Confluence/Teamly.

Условия
Официальное трудоустройство в аккредитованной ИТ компании;
Удаленный формат работы с гибким началом дня;
Адекватное руководство без бюрократии;
Возможность участия в создании продукта для сотен тысяч пользователей;
Корпоративы, подарки к праздникам;
Профессиональный и карьерный рост.

Стань частью команды ВиаМоби!

AI-помощник
Источникhh.ru
Опубликовано4 ч назад
Просмотры0
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.