Инженер по безопасности приложений (AppSec)

Местоположение и тип занятости

МоскваПолный рабочий день

Компания

№1 в корпоративной страховании

Описание вакансии

О компании и команде

Страховая Группа «СОГАЗ», один из крупнейших в России страховщиков федерального уровня, предлагает присоединиться к высокопрофессиональной команде специалистов, обладающей уникальным для рынка опытом, знаниями и технологиями.

Клиентами СОГАЗа являются более 85 тыс. предприятий, включая Группу «Газпром», ОАО «РЖД», ГК «Росатом», ГК «Ростех», ОАО «НК «Роснефть», ОАО «Северсталь» и многие другие ведущие российские корпорации.

Генеральный партнер и страховщик Континентальной хоккейной лиги.

Мы не стоим на месте и меняемся вместе с миром, который нас окружает. Сейчас мы находимся в активном поиске опытного AppSec-инженера, имеющего представление о цикле безопасной разработки и знающего об уязвимостях практически все :) 

Ожидания от кандидата

Обязанности:

  • Создавать цикл безопасной разработки (S-SDLC) (статический анализ, компонентный анализ, ИБ-мониторинг, автоматизация);
  • Обеспечивать защиту разрабатываемых и используемых приложений компании;
  • Проводить аудиты безопасности разрабатываемых сервисов (код, архитектура);
  • Формировать и формализовывать требования безопасности для продуктов;
  • Консультировать разработчиков и контролировать устранения выявленных уязвимостей;
  • Администрировать, разрабатывать и внедрять системы информационной безопасности в части безопасного цикла разработки;
  • Проводить обучение сотрудников требованиям информационной безопасности в части разработки.

Требования:

  • Умение самостоятельно выявлять уязвимости;
  • Понимание циклов CI/CD (Gitlab-CI) и DevOps;
  • Понимание принципа работы и настройки правил инструментов статического анализа кода;
  • Уверенное знание Client-Side и Server-Side уязвимостей (OWASP TOP-10 и немного больше);
  • Понимание хотя бы одного языка программирования (в приоритете PHP и Python);
  • Понимание принципов работы систем аутентификации и авторизации (PKI, LDAP, OAuth, SAML, 2FA);
  • Знание Bash, Docker, Python или Go;
  • Умение читать код и выявлять ошибки;
  • Опыт работы со сканерами уязвимостей (Burp Suite, OWASP ZAP).

Условия работы

  • Опыт в компании №1 в России на рынке корпоративного страхования, в высокопрофессиональной команде с уникальной для рынка историей, знаниями и технологиями;
  • Реальные возможности профессионального и карьерного роста;
  • Оформление полностью в соответствии с ТК РФ, включая оплачиваемый отпуск 28 календарных дней и дополнительный день к нему и, конечно, оплачиваемый больничный;
  • Стабильный доход в стабильной компании;
  • Социальный пакет, включающий возможность оформления добровольного медицинского страхования в лучших клиниках города, специальные предложения по страхованию (КАСКО, имущество, жизнь), льготное кредитование, скидки на фитнес и другие программы от партнеров;
  • Страхование жизни и страхование от несчастных случаев и болезней;

  • Заботу компании о детях сотрудника: скидки в детские лагеря и подарки на Новый год;
  • Гибридный график с преобладанием офисного формата (идеально - 4/1);
  • Удобное расположение офиса.