Требования:
Мы ждем, что вы:
- активно интересуетесь безопасным циклом разработки приложений (SDLC) и анализом безопасности программного кода;
- умеете выстраивать процессы с технической и организационной сторон;
- видите плюсы и минусы процессов, можете смотреть на них глазами каждого из участников;
- умеете говорить на языке разработчиков, аудиторов и бизнеса;
- понимаете, что такое риски, угрозы и контроли и как они связаны друг с другом;
- отлично разбираетесь в безопасности веб-приложений и знаете принципы их построения и работы; опыт работы в пентесте будет плюсом;
- понимаете устройство *nix-систем и систем контейнеризации;
- знаете, как работают базовые сетевые технологии и протоколы;
- умеете автоматизировать работу, используя Python или Golang;
- работали на аналогичной должности или на позиции инженера по application security больше двух лет.
Задачи:
Что нужно делать:
- консультировать продуктовую команду по вопросам безопасной архитектуры и функций безопасности, проводить ревью архитектуры и фич
- создать и поддерживать модель угроз для продукта;
- искать оптимальные пути для снижения практических рисков в области ИБ;
- вместе с командой разработки, DevOps и ИТ строить SDLC;
- растить и развивать Security-чемпионов
- участвовать в создании общих подходов к безопасной разработке в компании с использованием внутренних, коммерческих и open source-продуктов.;
- сопровождать процесс поиска и устранения уязвимостей в продукте;
- руководить программой bug bounty продукта;
- участвовать в процессе сертификации;
- продвигать культуру информационной безопасности в команде;