
AppSec Technical Lead
СБЕР
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии
Мы ищем AppSec Technical Lead — сильного hands-on эксперта по Application Security, который будет техническим лидером команды из 3 AppSec-инженеров.
Вам предстоит развивать практики secure SDLC и DevSecOps, работать с SAST/SCA/DAST/MAST, развивать автоматизацию security-проверок.
Вам предстоит
•быть техническим лидером для команды AppSec-инженеров
•помогать команде принимать архитектурные и технические решения в области Application Security
•наставлять инженеров, помогать им развивать экспертизу в AppSec, DevSecOps, security code review и автоматизации
•проводить ревью технических решений, подходов к анализу уязвимостей, SAST-правил и security-автоматизаций
•участвовать в планировании работы команды совместно с Product Owner
•помогать приоритизировать задачи с учётом технических рисков, бизнес-контекста и загрузки команды
•быть единой точкой входа для PO продукта по вопросам AppSec: статусы, блокеры, риски, roadmap, технические ограничения и потребности команды.
•развивать интеграцию security-проверок в CI/CD
•разрабатывать и поддерживать правила для SAST-инструментов
•улучшать процессы работы с SAST/SCA/DAST/MAST: качество проверок, triage, отчётность, снижение false positives
•писать автоматизацию для интеграции сканеров, обработки результатов, обогащения находок и формирования метрик
•исследовать и тестировать новые инструменты проверки безопасности приложений
•помогать делать security-проверки более полезными для разработчиков и менее шумными для команд.
Что для нас важно
•опыт в Application Security от 4 лет либо сопоставимый опыт в разработке с последующим переходом в security
•практический опыт технического лидерства, наставничества или координации работы AppSec/security-инженеров
•глубокое понимание secure SDLC, shift-left security и DevSecOps
•практический опыт работы с SAST, SCA, DAST и/или MAST-инструментами
•опыт интеграции security-проверок в CI/CD
•опыт security code review на одном или нескольких языках: Java/Kotlin, Go, Python
•уверенное владение одним из языков: Python/Java/Go
•опыт работы с Bash
•глубокое понимание OWASP Top 10, OWASP ASVS и OWASP Mobile Top 10
•понимание современных архитектур: микросервисы, REST/gRPC API, Kubernetes, контейнеризация
•опыт анализа результатов сканирования, валидации уязвимостей, поиска false positives и приоритизации рисков
•практический опыт взаимодействия с разработчиками по исправлению уязвимостей
•понимание специфики безопасности мобильных приложений
•опыт работы с MAST-инструментами
•понимание типовых рисков мобильных приложений: insecure storage, insecure communication, неправильная работа с secrets, jailbreak/root detection, reverse engineering risks, certificate pinning, tampering
•опыт анализа Android/iOS-приложений будет преимуществом
•инструментальное владение AI для анализа, генерации и автоматизации.
Мы предлагаем
•комфортный современный офис
•офисный формат работы
•ежегодный пересмотр зарплаты, годовая премия
•корпоративный спортзал и зоны отдыха
•более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
•программа адаптации и помощь руководителя на старте
•расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
•гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ
•бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров
•вознаграждение за рекомендацию друзей в команду Сбера.