DevSecOps, Application Security (обеспечение безопасности кода)

Группа компаний Иннотех в связи с расширением Дивизиона информационной безопасности открывает вакансию Специалиста DevSecOps, Application Security в Службу анализа кода. Ищем специалиста на постоянную работу, на полный рабочий день.

Возможен гибридный формат работы (4 дня-дом, 1 день-офис), офис м. Крестьянская застава/Пролетарская (3 мин. пешком от метро).

Требования:

• высшее образование (информационная безопасность, информационные технологии);
• опыт работы по направлению DevSecOps, DevOps, Application Security от 2х лет;
• понимание принципов выявления уязвимостей из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25 (что-либо из перечисленного),
• способность читать и анализировать код на следующих языках программирования: Java, JavaScript, Python (или аналоги),
• опыт работы с микросервисной архитектурой,
• опыт работы с инструментами безопасной разработки (SAST, SCA, Container Security),
• опыт внедрения практик по обеспечению цикла безопасной разработки ПО, владение принципами DevSecOps,
• понимание концепций Shift-Left, Zero-Trust,
• опыт работы с инструментами CI/CD (Gitlab, Jenkins, Teamcity).

Будет плюсом:

• знания требований законодательства РФ и регуляторов, а также рекомендации международных и отечественных стандартов в области обеспечения безопасной разработки ПО,
• понимание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF),

• способность принимать решения с точки зрения risk management, а не просто хорошо/плохо.

Задачи:

• участие во внедрении практик разработки безопасного ПО,
• проведение комплексного анализа безопасности ПО в рамках внутреннего проекта собственной разработки,
• проведение анализа срабатываний сканеров (SAST, SCA/OSA, CA, DAST) и настройка правил сканирований,
• осуществление экспертной поддержки команд разработки,
• разработка документации, инструкций и схемы процессов,
• участие в создании цикла SSDLC, сопровождении инструментов SSDLC, внедрении инструментария DevSecOps и развитие методологии DevSecOps, включая написание инструкций и пайплайнов для сред разработки,
• контроль соблюдения практик безопасной разработки, требований ИБ,
• развертывание, настройка, интеграция и развитие инструментов разработки безопасного ПО.