Специалист по безопасной разработке приложений

Зарплата

от 300 000 ₽

Местоположение и тип занятости

МоскваПолный рабочий деньМожно удаленно

Компания

Трансляция контента телеканалов в интернете

Описание вакансии

О компании и команде

Мы — команда Витрина ТВ, образованная крупными медиахолдингами России, чтобы объединить ресурсы и разработать технологии для онлайн-трансляции телеканалов.

Мы официально обеспечиваем трансляцию каналов первого и второго мультиплексов и занимаемся всем, что связано с эфиром — от контроля качества до распространения на платформах, таких как Кинопоиск, IVI, Wink и многих других.

Проект находится в стадии активного развития и роста - идет как наращивание функционала, так и подключение новых каналов и площадок. Проект гибкий, мы быстро адаптируемся под новые требования. При планировании задач для разработки мы ориентируемся на требования каналов. В рамках проекта ведется разработка нескольких продуктов:

  • трансляционная платформа
  • плеер для размещения на веб-сайтах
  • SDK для IOS и Android
  • SDK для SmartTV
  • система сбора статистики и аналитики смотрения, а также система управления вещанием

Ожидания от кандидата

Сейчас мы активно развиваем процессы DevSecOps и у будущего коллеги будет возможность напрямую влиять на выбор подходов и технологий.

Нам важно внедрить безопасность в каждый этап жизненного цикла разработки ПО, начиная с первых этапов проектирования и заканчивая эксплуатацией, обеспечивая тем самым безопасность и надежность разрабатываемых продуктов.

Чем тебе предстоит заниматься:

  • Внедрять новые DevSecOps-практики, помогать командам разработки с применением инструментов и подходов
  • Формировать и развивать архитектуру и культуру DevSecOps
  • Внедрять, поддерживать и автоматизировать процессы SAST, DAST, SCA и т.д.
  • Улучшать и выводить на новые уровни безопасность автоматизации CI/CD (gitlab)
  • Участвовать в процессе pre-prod тестирования с целью выявления потенциальных уязвимостей
  • Формировать нормативную базу по процессам безопасной разработки
  • Принимать участие в проведении комплексных аудитов безопасности
  • Бороться за чистоту релизов, составлять рекомендации по устранению выявленных проблем
  • Настраивать процессы управления уязвимостями и дефектами для контейнеров
  • Внедрять культуру безопасной разработки совместно с Security Champions
  • Проводить запуск инструментов поиска недостатков и уязвимостей исходного и исполняемого кода (SAST, SCA, DAST, BCA, MAST)
  • Проводить тонкую настройку инструментов и формировать пользовательские правила
  • Отслеживать информацию об актуальных уязвимостях и при необходимости дорабатывать пользовательские правила
  • Осуществлять аудит результатов, исключать ложные срабатывания, рассчитывать критичность срабатываний
  • Формировать рекомендации по устранению недостатков и защите приложений
  • Взаимодействовать с командами разработки по согласованию технического долга

Для этого тебе понадобится:

  • Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов
  • Понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии
  • Знание особенностей веб разработки и меры по обеспечению ее безопасности
  • Знакомство с OWASP Top 10, ASVS, WSTG, MASTG
  • Понимание способов популярных атак на веб-приложения
  • Знакомство с CWE, CVE. Опыт расчёта CVSS (в том числе по версии 4.0)
  • Опыт разработки Go, PHP, NodeJs, Java, Kotlin, использование в проектах Js, Typescript, баз данных MySQL, ClickHouse. Умение разбираться в чужом исходном коде
  • Опыт работы в HiLoad проектах
  • Понимание того как устроена современная разработка
  • Знакомство с системами контроля версий
  • Умение работать с Git
  • Понимание того как происходит сборка приложений
  • Опыт работы с инструментами статического анализа кода (SAST)
  • Опыт работы с инструментами анализа открытого ПО (OSA/SCA)
  • Опыт работы с инструментами динамического анализа веб приложений (DAST)
  • Понимание основных принципов обеспечения безопасности REST API
  • Умение работать с Postman, Swagger Опыт работы с инструментами анализа мобильных приложений на безопасность
  • Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based)
  • Опыт работы с docker (compose), kubernetes. Понимание основных угроз контейнеризации. Умение работать с инструментами анализа контейнеров на уязвимости
  • Умение исключать ложные срабатывания, оценивать критичность обнаруженных недостатков, аргументировать необходимость устранения
  • Обладаете знаниями стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, NIST, ФСТЭК и т.п.)
  • Опыт успешного внедрения SAST, SCA, DAST инструментов
  • Имеете опыт работы с инструментальными средствами анализа уязвимостей и проверок безопасности ПО (SAST, DAST, Fuzzing, SCA/OSA и т.д.)
  • Навыки DevOps, эксплуатация и поддержка готовых CI/CD окружений (Gitlab), работа с Terraform/Ansible
  • Понимание принципов работы Docker, Kubernetes, диагностика и поиск проблем
  • Знание основных принципов работы современных приложений, процессов CI/CD и безопасной разработки (SSDLC/DevSecOps)
  • Понимание логики работы классов решений и их места в жизненном цикле разработки и доставки приложений
  • Опыт нормативного обеспечения процессов SSDLC/DevSecOps

Условия работы

Работа в Витрина-ТВ - это:

  • Погружение в мир масштабных проектов: у нас ты окажешься в эпицентре динамичных процессов, где каждый рабочий день становится новым вызовом для твоего роста
  • Профессионализм и адекватность: Высокий профессионализм коллег и адекватное руководство
  • Развитие: большая команда профессионалов, готовых делиться своими знаниями и страстью к технологиям. А также внутреннее наставничество, участие во внешних конференциях и оплата профильных курсов
  • Инженерная культура: прозрачность код-ревью, оперативное внедрение новых фичей и совершенствование существующего кода через рефакторинг
  • Свобода: офис, удалёнка или гибрид — решать тебе
  • Гибкий график - смотрим не на количество отработанных часов, а на результат проделанной работы. Отсутствие дресс-кода и бюрократии
  • Забота о здоровье: после испытательного срока - расширенное ДМС со стоматологией, телемедициной, психологом. А также скидки на иные виды страхования для близких
  • Комфорт: современный офис в пешей доступности от м.Тульская.
  • Снэк-бар в офисе - чтобы мысли о голоде не мешали работать :)
  • Онбординг для новичков и команда HR-ов, которые помогут и ответят на любой твой вопрос
  • Статус: Работу в аккредитованной ИТ-компании
  • Рост: Возможность карьерного роста до начальника отдела
  • Дополнительная выгода: Различные корпоративные программы и скидки