AppSec Engineer/Pentester
Зарплата
от 200 000 до 350 000 ₽
Требования
Местоположение и тип занятости
Компания
Крупнейшая цифровая платформа. Технобренд, объединяющий лучшие мировые практики и самый современный стек
Описание вакансии
Условия работы
Мы - команда AppSec, мы занимаемся обеспечением безопасности приложений Сбера:
- Внедряем DevSecOps, чтобы максимально прозрачно автоматизировать проверки безопасности в цикле разработки;
- Интегрируем и оптимизируем модные инструменты и практики (как OpenSource, так и коммерческие), чтобы код банковских приложений был безопасным;
- Пишем свои инструменты для автоматизации и поиска уязвимостей;
- Проводим пентесты чтобы найти новые вектора атак и баги бизнес-логики;
- Анализируем метрики чтобы скорректировать свои процессы и "держать руку на пульсе";
Сейчас нашими сервисами пользуются более 3000 команд Банка, мы имеем дело с разнообразным технологическим стеком - от ПО для терминалов до мобильных приложений, от монолитов до микросервисов, от php до Golang.
Обязанности
- Ручной и автоматизированный поиск уязвимостей, участие в их разборе совместно с командами разработки, разработка PoC-эксплоитов;
- Адаптация OpenSource-инструментов и разработка собственных для автоматизации проверок безопасности (бизнес-логика, кастомные проверки);
- Улучшение имеющихся практик AppSec и внедрение новых;
- Совершенствование архитектуры технических процессов и взаимодействий в рамках цикла безопасной разработки.
Требования
- Уверенное владение несколькими языками из списка и их основ распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C;
- Навыки скриптинга для автоматизации своих задач: Bash, Powershell;
- Уверенные знания по двум из направлений: Web, Mobile, Binary;
- Уверенные знания приемов митигации распространенных уязвимостей и безопасного программирования;
- Операционные системы Windows/Unix на уровне администратора;
- Умение настраивать и администрировать распространенные инструменты CI/CD;
- Уверенные знания практик DevSecOps/AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности;
- Уверенные знания векторов атак (на разных уровнях) на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты.
Будет плюсом:
- Опыт работы с облачными технологиями, контейнерами: деплой, администрирование, безопасность;
- Написание правил для Checkmarx, CodeQL;
- Проведение собственных исследований, участие в BugBounty программах;
- Проведение аудита архитектуры проектов;
- Участие в СTF, наличие профильных сертификатов.
Бонусы
Условия
- Работа над уникальным по масштабам и интересным проектом;
- Профессиональный рост в дружной команде профессионалов;
- Официальное оформление по ТК РФ;
- Достойная заработная плата (оклад + премии);
- ДМС с первого дня, возможность настройки персональных программ;
- Программа льготного кредитования (включая ипотеку) в Сбербанке;
- Дисконт-программы от компаний партнеров;
- Развитая система обучения: онлайн-курсы в Виртуальной школе Сбера и доступ к библиотеке, обучение в Корпоративном университете, тренинги, митапы и т.д.;
- Бесплатный фитнес-зал;
- Место работы: Кутузовский пр-т, 32.