Инженер по безопасности приложений

Right Line
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии

Мы - Right Line, российская ИТ-компания, работающая с 2017 года. Мы разрабатываем решения для банков и финансовых компаний.

Наша команда стала первым сертифицированным вендором решения для Системы Быстрых Платежей в России, начавшей подключать российские банки к этой системе, опередив крупных ИТ-гигантов. Первым подключенным клиентом стал Т-Банк, участвовавший в пилотном проекте.

Также, мы запустили сервис трансграничных переводов по номеру телефона прямо из банковского приложения.

А еще мы активно участвуем в проекте “Цифровой рубль” и на базе нашего решения уже проходят первые операции с новой формой национальной валюты!

Мы продолжаем расти, развивать новые направления и формировать команду профессиональными коллегами, которые, как и мы, хотят добиваться крутых результатов.

Мы развиваем практики безопасной разработки для внутренних продуктов компании и ищем Инженера по безопасности приложений, который поможет встроить безопасность во все этапы SDLC – от проектирования и разработки до эксплуатации.

Чем предстоит заниматься
Проводить проверки приложений и сервисов на наличие уязвимостей (SAST, SCA, DAST, обнаружение секретов, фаззинг), готовить POC‑эксплуатации и понятные отчёты для команд;
Проводить триаж уязвимостей: оценка риска и влияния, приоритизация, постановка задач на исправление, контроль сроков и качества устранения уязвимостей;
Участвовать в проектировании: проводить моделирование угроз (например, STRIDE), ревью архитектуры по безопасности и дизайн‑решений, формулировать требования к аутентификации, авторизации, шифрованию и журналированию;
Развивать SSDLC и DevSecOps: определять и внедрять контроли по безопасности на этапах требований, дизайна, разработки, тестирования и эксплуатации, настраивать гейты безопасности в GitLab CI/CD;
Сопровождать и развивать AppSec‑инструменты: интеграция сканеров в конвейер разработки, настройка политик, исключений и отчётности, участие в выборе и пилотах новых решений;
Участвовать в аудитах безопасности сервисов и разборах инцидентов: анализ причин, выработка устойчивых мер, предотвращающих повторное возникновение уязвимостей целого класса;
Консультировать команды разработки и архитекторов по вопросам безопасной разработки, разбору и устранению уязвимостей, шаблонам безопасного кодирования;
Проводить тренинги, воркшопы и семинары по AppSec (OWASP Top 10 / API Security, безопасная аутентификация и управление сессиями, защита API и интеграций и т.п.);
Исследовать новые векторы атак и тренды в AppSec, предлагать улучшения процессов и инструментов.
Что мы ожидаем от кандидата
Высшее техническое образование (желательно профильное ИБ или практический опыт в разработке/безопасности приложений);
Опыт работы в роли инженера по безопасности приложений от 3 лет, участие в реальных проектах по защите веб‑ или API‑сервисов в продакшене;
Практический опыт внедрения и эксплуатации инструментов:SAST, SCA, DAST, фаззинг, поиск секретов. Интеграция этих инструментов в CI/CD (желательно GitLab CI/CD);
Опыт работы с Docker, Kubernetes, GitLab (или аналогичными системами контроля версий и CI/CD);
Умение проводить ревью кода с фокусом на безопасность, давать разработчикам понятные и практичные рекомендации;
Владение одним из языков программирования (Python / Go / Bash);
Глубокое понимание причин возникновения и способов эксплуатации уязвимостей из OWASP Top 10 и OWASP API Security, а также практического устранения этих проблем;
Навыки общения: умение объяснить сложные технические риски понятным языком, договариваться о приоритетах, конструктивно отстаивать позицию безопасности. Будет плюсом:
Опыт участия в построении или развитии практик безопасного кодирования SDLC / AppSec / DevSecOps в компании (описание процессов, политик, стандартов безопасное кодирование, матриц угроз);
Опыт проведения моделирования угроз с командами разработки, ревью архитектур, работы с высоконагруженными и распределёнными системами;
Опыт взаимодействия с аудитами, заказчиками и регуляторами, подготовки доказательной базы по соответствию требованиям (ГОСТ Р 56939‑2024, ГОСТ Р 57580, OWASP SAMM, PCI SSF, ISO/IEC, NIST SSDF);
Опыт работы в роли тимлида или технического лидера в области ИБ или разработки;
Наличие профессиональных сертификаций (например, CSSLP, GWAPT, OSWE/OSCP, eWPT, eWPTX и др.);
Опыт участия в баг баунти / CVD‑программах, публичных докладах/статьях по AppSec.
Преимущества работы в нашей команде
Официальное оформление в штат с первого рабочего дня, все по ТК РФ;
Работа в аккредитованной ИТ-компании, отсрочка от мобилизации и другие приятные бонусы;
Удаленный формат работы, либо работа в гибридном формате в офисе (Москва, (ул. Большая Тульская, 11) в бизнес-центре класса “А” рядом

с м.Тульская, в котором обязательно есть кофе, чай, фрукты, бутерброды, печеньки, а главное – классные коллеги, с которыми всегда есть, что обсудить:);

Конкурентная заработная плата;
Амбициозные проекты (нашими разработками уже пользуются миллионы людей);
ДМС, подарок на день рождения, крпоративный английский;
Корпоративные мероприятия (офлайн и онлайн), пятничные киносеансы и настолки, экскурсии, спортивные активности;
Свобода в принятии решений и большая перспектива быстрого карьерного роста.
Технологии и навыки
AI-помощник
Источникhh.ru
Опубликовано3 дн назад
Просмотры0
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.