Application Security Engineer

Tilda — это международный продукт, который работает на стыке дизайна и программирования. Мы помогаем тысячам людей развивать свои проекты в digital среде.

Ищем Application Security /DevSecOps специалиста, который будет участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности, реализует процесс безопасной разработки (SSDLC) и внедрит автоматизированные инструменты сканирования.

Что нужно будет делать:

• Реализовывать и поддерживать процесс безопасной разработки программного обеспечения (SSDLC):

  • Определять требований Git-flow для команд;

  • Внедрять практики Singed Commit, Signed Artifacts, Code Owners;

  • Внедрять SAST решения;

  • Внедрять Secrets Detection решения;

  • Внедрять SCA решения;

  • Внедрять DAST решения;

  • Внедрять средство оркестрации уязвимостей;

  • Писать и совершенствовать правила SAST/DAST и иных инструментов, направленных на анализ безопасности продуктов;

  • Поддерживать и совершенствовать существующие инструменты сканирования;

  • Помогать командам в моделировании угроз;

  • Проводить Security Review перед публикацией сервиса;

  • Проводить анализ уязвимостей.

• Внедрять процессы Security Quality Gates;

• Реализовывать процесс Secret Management;

• Реализовывать процесс Vulnerability Management;

• Участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности;

• Проводить анализ защищенности существующих продуктов компании.

Что мы ожидаем:

• Опыт поиска и устранения уязвимостей из OWASP Top 10;

• Умение выявлять архитектурные ошибки и уязвимости бизнес логике;

• Опыт работы с OWASP SAMM;

• Опыт построения процессов SSDLC;

• Понимаете принципы построения и работы веб-приложений;

• Опыт работы с Github Actions, Github Workflow ;

• Опыт работы с инструментами сканирования (одним из каждой категории):

  • SAST: Semgrep, SonarQube.

  • SCA: Dependency Track, Dependency Check.

  • Secret Detection: trufflehog, gitleaks.

  • DAST: OWASP ZAP, Nuclei.

Дополнительно приветствуем:

• Умение читать и анализировать код на PHP;

• Умение ориентироваться в документах по ФЗ-152 (и возможно GDPR), а также способствовать тому, чтобы код соответствовал изменениям в законодательстве;

• Опыт получения сертификатов по информационной безопасности и защите персональных данных (например, ISO 27001).
  
  Что мы можем предложить:

• Белую и своевременную заработную плату в зависимости от компетенций;
• Официальное трудоустройство и все льготы аккредитованной ИТ-компании;
• Современное рабочее оборудование и офис в самом центре Москвы;
• Гибридный формат, гибкое начало рабочего дня;
• Участие в проекте с многомиллионной аудиторией пользователей;
• Возможность мыслить широко и влиять на результат;
• Работу в команде профессиональных ребят;
• ДМС со стоматологией с первых дней;
• Корпоративные выплаты в случае важных семейных событий;
• Участие в профильных конференциях и курсах за счет компании;
• Возможность пройти бесплатное обучение от Школы Тильды по имеющимся направлениям.