Аналитик по информационной безопасности (Application security / AppSec)
Совкомбанк Технологии
Удаленная работа
Опыт: 3-6 лет
Полная занятость
Описание:
Мы – СОВКОМБАНК ТЕХНОЛОГИИ. IT-компания финансовой Группы «Совкомбанк», топ-5 лучших работодателей по версии Хабр Карьера. У нас работает более 5000 специалистов по всей России. Мы развиваем экосистему карты рассрочки Халва, приложение Совкомбанк Инвестиции и собственные корпоративные продукты, проводим масштабные интеграции сервисов и компаний. В связи с усилением команды кибербезопасности открыта вакансия Аналитика ИБ (Application Security), который совместно с DevSecOps будет развивать процессы SSDLC в продуктовых командах ГК Совкомбанк. Присоединяйся к команде – давай вместе прокачивать финтех! Задачи, которые предстоит решать: Проводить анализ безопасности архитектуры приложений; Сортировать (триаж) уязвимости, найденные инструментами SSDLC; Писать proof-of-concept для критичных уязвимостей; Разрабатывать технические стандарты безопасной разработки; Повышать осведомленность, консультировать разработчиков в вопросах безопасной разработки и типовых уязвимостей; Соблюдать установленных KPI по обработке результатов от инструментов SSDLC. Наши ожидания от кандидата: Опыт от 1 года: Работа с любым из инструментов анализа безопасности приложений: SAST, DAST/Fuzzing, OSA/SCA, IAST; Верификация уязвимостей, их сортировка и приоритизация; Оценка угроз для веба и мобильных приложений, методы их устранения (OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, OWASP MASVS, MASTG или аналогов); Разработка моделей угроз (STRIDE, PASTA или аналоги); Реализация современных протоколов авторизации (SAML 2.0, OpenID Connect). Будет плюсом: Опыт работы с git (Gitlab, Github, Jenkins или аналоги); Опыт работы с task tracker (Jira, yandex tracker или аналогами); Опыт работы с уязвимостями в зависимостях. Анализ уязвимостей в прямых и транзитивных зависимостях; Участие в разработке по современным методологиям (Agile, Scrum); Разработка на одном из современных языков программирования, проведение ручного анализа кода; Опыт встраивания контролей безопасности в pipeline в т.ч. в виде security gates; Практический опыт тестирования на проникновение; Опыт со стандартами и лучшими практиками защиты платежной инфраструктуры (PCI DSS, СТО БР ИББС, 821-П и другие).
Мы предлагаем:
Оформление по ТК РФ – наша IT-компания аккредитована; Полный день, график работы: 5/2 (выходные: суббота, воскресенье); З/п белая, по результатам собеседования; Рассматриваются кандидаты по всей России: Калининград, Казань, Уфа, Новосибирск, Санкт-Петербург, Томск, Екатеринбург, Саратов, Краснодар и другие регионы; Развитие профессиональной экспертизы: ты сможешь обучаться и посещать конференции и митапы за счёт компании; Классная команда – мы за радость общения и дружбу в коллективе; Комфортный офис – у нас уютные рабочие пространства, комнаты отдыха с настольным теннисом, кикером, плойкой и другими плюшками; Коворкинги в Сочи и на Алтае – туда можно отправиться поработать и отдохнуть в режиме 4/3 за счёт Банка; Более 50 социальных программ – ДМС со стоматологией и страхованием от несчастных слу
