Компания "Сбербанк"
О команде:
SberTech приглашает в свою команду Application Security Эксперта/специалиста в отдел безопасности разработки (Кибербезопасность). Наша команда в тесном взаимодействии с другими производственными командами SberTech (архитекторами, разработчиками, тестировщиками и др.) принимает непосредственное участие в создании и развитии инновационного для российского и международного рынка продукта - Platform V, который будет помогать как внутренним, так и внешним пользователям быстро и просто создавать и впоследствии эксплуатировать нативно-безопасные low-code приложения.
Какие задачи предстоит решать:
- верификация результатов статического и композиционного анализа (SAST, SCA)
- верификация потенциальных утечек конфиденциальной информации в коде (пароли, API-ключи и т.п.)
- углубленный анализ уязвимостей в поставляемом ПО на основе запросов от потребителей
- контроль устранения выявленных в ходе исследований дефектов/уязвимостей
- подготовка рекомендаций и оказание консультаций по устранению выявленных уязвимостей
- развитие практик и методологии SSDLC, пилотирование инструментов, ведение внутренней базы знаний
- участие в проработке и внедрении практик разработки безопасного программного обеспечения (РБПО), выполнение работ по оценке соответствия процессов Компании требованиям ГОСТ серии Разработка безопасного программного обеспечения (ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.)
- R&D - работа по внедрению ИИ для автоматизации процессов тестирования безопасности приложений.
Требования:
- практический опыт работы с инструментами Application Security (Checkmarx, PT AI, Svace, Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy, Gitleaks, TruffleHog и т.п.)
- опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.)
- опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей
- углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них
- знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.)
- знания технологий виртуализации и контейнеризации, основ криптографии, а также протоколов и технологий (JWT, SSL/TLS, HMAC, PKI)
- знания нормативной регуляторики ФСТЭК России (Методика выявления уязвимостей и недекларированных возможностей, ГОСТ Р 56939-2024, ГОСТ Р 71207-2024 и т.д.)
Будет преимуществом:
- опыт сопровождения (или проведения) сертификационных испытаний СЗИ по линии ФСТЭК России или опыт аудита процессов Компании требованиям ГОСТ серии Разработка безопасного программного обеспечения
- успешный опыт по внедрению ИИ для автоматизации процессов тестирования безопасности приложений
- опыт работы разработчиком ПО.
Работа в СберТехе — это:
- гибридный формат работы
- годовой бонус и ежегодный пересмотр зарплаты
- статус аккредитованной ИТ-компании со всеми преимуществами
- расширенный ДМС с первого дня и льготное страхование для семьи
- корпоративный университет Сбера, внутренняя образовательная платформа, участие в IT-конференциях
- офис с видом на набережную, зонами отдыха и спортзалом
- 90 дней удаленной работы из любого региона
- льготная ипотека в Сбере, подписка СберПрайм+, скидки от партнеров и сервисов группы компаний.