Мы - Right Line, российская ИТ-компания, работающая с 2017 года. Мы разрабатываем решения для банков и финансовых компаний.
Наша команда стала первым сертифицированным вендором решения для Системы Быстрых Платежей в России, начавшей подключать российские банки к этой системе, опередив крупных ИТ-гигантов. Первым подключенным клиентом стал Т-Банк, участвовавший в пилотном проекте.
Также, мы запустили сервис трансграничных переводов по номеру телефона прямо из банковского приложения.
А еще мы активно участвуем в проекте “Цифровой рубль” и на базе нашего решения уже проходят первые операции с новой формой национальной валюты!
Мы продолжаем расти, развивать новые направления и формировать команду профессиональными коллегами, которые, как и мы, хотят добиваться крутых результатов.
Мы развиваем практики безопасной разработки для внутренних продуктов компании и ищем Инженера по безопасности приложений, который поможет встроить безопасность во все этапы SDLC – от проектирования и разработки до эксплуатации.
Чем предстоит заниматься
•Проводить проверки приложений и сервисов на наличие уязвимостей (SAST, SCA, DAST, обнаружение секретов, фаззинг), готовить POC‑эксплуатации и понятные отчёты для команд;
•Проводить триаж уязвимостей: оценка риска и влияния, приоритизация, постановка задач на исправление, контроль сроков и качества устранения уязвимостей;
•Участвовать в проектировании: проводить моделирование угроз (например, STRIDE), ревью архитектуры по безопасности и дизайн‑решений, формулировать требования к аутентификации, авторизации, шифрованию и журналированию;
•Развивать SSDLC и DevSecOps: определять и внедрять контроли по безопасности на этапах требований, дизайна, разработки, тестирования и эксплуатации, настраивать гейты безопасности в GitLab CI/CD;
•Сопровождать и развивать AppSec‑инструменты: интеграция сканеров в конвейер разработки, настройка политик, исключений и отчётности, участие в выборе и пилотах новых решений;
•Участвовать в аудитах безопасности сервисов и разборах инцидентов: анализ причин, выработка устойчивых мер, предотвращающих повторное возникновение уязвимостей целого класса;
•Консультировать команды разработки и архитекторов по вопросам безопасной разработки, разбору и устранению уязвимостей, шаблонам безопасного кодирования;
•Проводить тренинги, воркшопы и семинары по AppSec (OWASP Top 10 / API Security, безопасная аутентификация и управление сессиями, защита API и интеграций и т.п.);
•Исследовать новые векторы атак и тренды в AppSec, предлагать улучшения процессов и инструментов.
Что мы ожидаем от кандидата
•Высшее техническое образование (желательно профильное ИБ или практический опыт в разработке/безопасности приложений);
•Опыт работы в роли инженера по безопасности приложений от 3 лет, участие в реальных проектах по защите веб‑ или API‑сервисов в продакшене;
•Практический опыт внедрения и эксплуатации инструментов:SAST, SCA, DAST, фаззинг, поиск секретов. Интеграция этих инструментов в CI/CD (желательно GitLab CI/CD);
•Опыт работы с Docker, Kubernetes, GitLab (или аналогичными системами контроля версий и CI/CD);
•Умение проводить ревью кода с фокусом на безопасность, давать разработчикам понятные и практичные рекомендации;
•Владение одним из языков программирования (Python / Go / Bash);
•Глубокое понимание причин возникновения и способов эксплуатации уязвимостей из OWASP Top 10 и OWASP API Security, а также практического устранения этих проблем;
•Навыки общения: умение объяснить сложные технические риски понятным языком, договариваться о приоритетах, конструктивно отстаивать позицию безопасности. Будет плюсом:
•Опыт участия в построении или развитии практик безопасного кодирования SDLC / AppSec / DevSecOps в компании (описание процессов, политик, стандартов безопасное кодирование, матриц угроз);
•Опыт проведения моделирования угроз с командами разработки, ревью архитектур, работы с высоконагруженными и распределёнными системами;
•Опыт взаимодействия с аудитами, заказчиками и регуляторами, подготовки доказательной базы по соответствию требованиям (ГОСТ Р 56939‑2024, ГОСТ Р 57580, OWASP SAMM, PCI SSF, ISO/IEC, NIST SSDF);
•Опыт работы в роли тимлида или технического лидера в области ИБ или разработки;
•Наличие профессиональных сертификаций (например, CSSLP, GWAPT, OSWE/OSCP, eWPT, eWPTX и др.);
•Опыт участия в баг баунти / CVD‑программах, публичных докладах/статьях по AppSec.
Преимущества работы в нашей команде
•Официальное оформление в штат с первого рабочего дня, все по ТК РФ;
•Работа в аккредитованной ИТ-компании, отсрочка от мобилизации и другие приятные бонусы;
•Удаленный формат работы, либо работа в гибридном формате в офисе (Москва, (ул. Большая Тульская, 11) в бизнес-центре класса “А” рядом
с м.Тульская, в котором обязательно есть кофе, чай, фрукты, бутерброды, печеньки, а главное – классные коллеги, с которыми всегда есть, что обсудить:);
•Конкурентная заработная плата;
•Амбициозные проекты (нашими разработками уже пользуются миллионы людей);
•ДМС, подарок на день рождения, крпоративный английский;
•Корпоративные мероприятия (офлайн и онлайн), пятничные киносеансы и настолки, экскурсии, спортивные активности;
•Свобода в принятии решений и большая перспектива быстрого карьерного роста.