AppSec Technical Lead

СБЕР
Москва
🏢 Офис
Middle
Полная занятость
Россия
Описание вакансии

Мы ищем AppSec Technical Lead — сильного hands-on эксперта по Application Security, который будет техническим лидером команды из 3 AppSec-инженеров.

Вам предстоит развивать практики secure SDLC и DevSecOps, работать с SAST/SCA/DAST/MAST, развивать автоматизацию security-проверок.

Вам предстоит
быть техническим лидером для команды AppSec-инженеров
помогать команде принимать архитектурные и технические решения в области Application Security
наставлять инженеров, помогать им развивать экспертизу в AppSec, DevSecOps, security code review и автоматизации
проводить ревью технических решений, подходов к анализу уязвимостей, SAST-правил и security-автоматизаций
участвовать в планировании работы команды совместно с Product Owner
помогать приоритизировать задачи с учётом технических рисков, бизнес-контекста и загрузки команды
быть единой точкой входа для PO продукта по вопросам AppSec: статусы, блокеры, риски, roadmap, технические ограничения и потребности команды.
развивать интеграцию security-проверок в CI/CD
разрабатывать и поддерживать правила для SAST-инструментов
улучшать процессы работы с SAST/SCA/DAST/MAST: качество проверок, triage, отчётность, снижение false positives
писать автоматизацию для интеграции сканеров, обработки результатов, обогащения находок и формирования метрик
исследовать и тестировать новые инструменты проверки безопасности приложений
помогать делать security-проверки более полезными для разработчиков и менее шумными для команд.
Что для нас важно
опыт в Application Security от 4 лет либо сопоставимый опыт в разработке с последующим переходом в security
практический опыт технического лидерства, наставничества или координации работы AppSec/security-инженеров
глубокое понимание secure SDLC, shift-left security и DevSecOps
практический опыт работы с SAST, SCA, DAST и/или MAST-инструментами
опыт интеграции security-проверок в CI/CD
опыт security code review на одном или нескольких языках: Java/Kotlin, Go, Python
уверенное владение одним из языков: Python/Java/Go
опыт работы с Bash
глубокое понимание OWASP Top 10, OWASP ASVS и OWASP Mobile Top 10
понимание современных архитектур: микросервисы, REST/gRPC API, Kubernetes, контейнеризация
опыт анализа результатов сканирования, валидации уязвимостей, поиска false positives и приоритизации рисков
практический опыт взаимодействия с разработчиками по исправлению уязвимостей
понимание специфики безопасности мобильных приложений
опыт работы с MAST-инструментами
понимание типовых рисков мобильных приложений: insecure storage, insecure communication, неправильная работа с secrets, jailbreak/root detection, reverse engineering risks, certificate pinning, tampering
опыт анализа Android/iOS-приложений будет преимуществом
инструментальное владение AI для анализа, генерации и автоматизации.
Мы предлагаем
комфортный современный офис
офисный формат работы
ежегодный пересмотр зарплаты, годовая премия
корпоративный спортзал и зоны отдыха
более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
программа адаптации и помощь руководителя на старте
расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ
бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров
вознаграждение за рекомендацию друзей в команду Сбера.
Технологии и навыки
AI-помощник
Источникhh.ru
Опубликовано8 июл.
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.