Инженер по безопасности приложений

Обязанности

• Ищем инженера по безопасности приложений в команду, которая развивает внутренние инструменты безопасности для разработки.
• Это роль на стыке безопасности приложений, разработки и DevSecOps: вы будете не только находить риски, но и превращать требования безопасности в удобные автоматизированные проверки, встроенные в повседневный процесс разработки.
• Команда развивает и внедряет инструменты, которые помогают выявлять проблемы безопасности на разных этапах жизненного цикла разработки: на уровне исходного кода, зависимостей, интерфейсов взаимодействия, мобильных приложений и процессов поставки.
• Роль предполагает заметную инженерную составляющую: проектирование проверок, исследование подходов, интеграции и развитие корпоративных решений для практик SAST, SCA, DAST, MAST и смежных направлений.
• Тебе предстоит: развивать инструменты проверки безопасности приложений, встроенные в процесс разработки разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для различных классов задач: анализ исходного кода, зависимостей, секретов, API и других артефактов разработки проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки разрабатывать и поддерживать правила и автоматизацию для практик SAST, SCA, DAST, MAST и смежных направлений интегрировать инструменты безопасности в secure SDLC и CI/CD так, чтобы они были полезны разработчикам и не создавали лишних затруднений в работе проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений на ранних этапах валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости по уровню технических и бизнес-рисков для настройки правил и автоматизации помогать командам разработки устранять уязвимости: объяснять причины, риски и варианты исправления понятным инженерным языком искать точки, где ручную экспертизу можно превратить в автоматизированную проверку участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений в зависимости от потребностей команды и компании.
• Что для нас важно: практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки программного обеспечения с заметным переходом в направление безопасности уверенное владение хотя бы одним языком программирования для разработки и автоматизации: Python/Go/Java будут преимуществом понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки опыт работы с инструментами и подходами из областей SAST/SCA/secret scanning/API опыт интеграции проверок безопасности в CI/CD практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей хотя бы для части из следующих стеков: Java, Go, Python, JavaScript/TypeScript, PHP, C/C++ хорошее понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API понимание современных архитектур: микросервисы, REST/gRPC, Kubernetes, контейнеризация умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить его до рабочего результата.
• Будет плюсом: опыт разработки или доработки плагинов для IDE, линтеров, статических анализаторов или внутренних инструментов для разработчиков практический опыт в безопасности API опыт построения корпоративных решений или внутренних платформ безопасности знание подходов к проверке контрактов API и соответствия реализации спецификации опыт работы с подходами к моделированию угроз знания в области безопасности мобильных приложений: OWASP Mobile Top 10, MASVS, OWASP MASTG практический опыт анализа и тестирования безопасности мобильных приложений с использованием инструментов вроде jadx, apktool, MobSF и аналогичных участие в bug bounty, CTF или open-source проектах опыт поиска и снижения доли ложных срабатываний в инструментах безопасности.
• Что важно в этой роли: умение говорить с разработчиками на одном языке и помогать им решать проблему, а не просто передавать найденные замечания инженерный склад мышления: для нас важно не только увидеть риск, но и встроить защиту в процесс так, чтобы она реально работала в масштабе способность балансировать между глубиной анализа безопасности и удобством для внутренних пользователей инструментов.
• Мы предлагаем: комфортный современный офис офисный формат работы ежегодный пересмотр зарплаты, годовая премия корпоративный спортзал и зоны отдыха более 400 образовательных программ СберУниверситета для профессионального и карьерного развития программа адаптации и помощь руководителя на старте расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров вознаграждение за рекомендацию друзей в команду Сбера.