Назад

Старший инженер AppSec (DevSecOps)

Специальность

Информационные технологии

Город

Москва

За прошлый год мы выросли в десятки раз, пропорционально выросли и нагрузки. У нас появилось множество разнообразных, интересных и сложных задач по информационной безопасности. Сейчас мы ищем специалистов, которые знают, как строить информационную безопасность, и готовы принимать интересные и сложные вызовы!


Требования

  • Глубокие знания в области Application Security;
  • Умение читать код и выявлять ошибки;
  • Понимание цикла CI/CD и DevOps;
  • Знание Client-Side уязвимостей (Stored XSS, Reflected XSS, DOM XSS, postmessage SS (DOM), postmessage misuse, CSRF, CSTI, Clickjaking, referrer leak, Web cache poisoning, Web cache deception, CRLF injection, Open redirect, CT misuse, CSWSH и т. д.);
  • Знание Server-Side уязвимостей (RCE, NoSQL injection, SQL injection, XXE, JWT misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization bypass, Case specific issues, SSRF, и т. д.);
  • Понимание языков программирования PHP или Go;
  • Опыт анализа защищенности веб-приложений, в т. ч. fuzzing (Black Box, White Box, Grey Box);
  • Знание BASH, Python или любого другого средства скриптовой автоматизации;
  • Опыт работы со сканерами уязвимостей (Burp Suite, Netsparker, Acunetix);
  • Понимание принципов работы систем автоматизации Ansible, Puppet;
  • Любовь к тому, что ты делаешь;
  • Уважение, помощь и инициативность в работе со своей командой;
  • Желание вносить вклад в развитие компании;
  • Знание методов защиты Linux (Debian, Ubuntu, CentOS) будет плюсом;;
  • Понимание особенностей защиты и уязвимостей ELK, Apache, Nginx, MySQL, Tarantool database, kafka/RabbitMQ, Redis, git, Gitlab, Sentry будет плюсом;
  • Понимание принципов работы систем аутентификации и авторизации (PKI, LDAP, OAuth, SAML, 2FA) будет плюсом;
  • Понимание встроенных механизмов безопасности Linux будет плюсом;
  • Знание Docker и Kubernetes будет плюсом;
  • Наличие зарегистрированных CVE будет плюсом;
  • Наличие репортов о найденных уязвимостях в программах Bug Bounty будет плюсом.

Задачи

  • Участвовать в создании цикла безопасной разработки;
  • Обеспечивать защиты разрабатываемых и используемых приложений компании;
  • Проводить аудит кода в части недостатков ИБ;
  • Моделировать угрозы и формировать требования к безопасности веб-приложений;
  • Консультировать разработчиков и контролировать устранение выявленных уязвимостей;
  • Выявлять и реагировать на инциденты ИБ (ошибки программного обеспечения, несанкционированные проникновения, утечки информации и другие инциденты), проводить внутренние расследования;
  • Участвовать в выстраивании процессов взаимодействия разработки и ИБ;
  • Заниматься администрированием существующих, разработкой и внедрением новых систем информационной безопасности;
  • Проводить инструктажи, обучать сотрудников требованиям информационной безопасности в части разработки программного кода.

Всё самое лучшее для тебя:

  • Официальное оформление и зарплата на уровне топовых IT-компаний страны (её размер зависит от опыта и крутизны кандидата);
  • Новый классный офис рядом с метро «Сокол» + бесплатная подземная парковка; 
  • Чай, кофе, снеки, фрукты и другие вкусности каждый день;
  • Расширенный ДМС с первого дня;
  • Возможность работать удаленно, когда это нужно, или брать day-off;
  • Заботимся о твоем развитии: мы готовы компенсировать практически любую профессиональную литературу, курсы, обучение и участие в профессиональных конференциях и семинарах;
  • Ну и, разумеется, тебя ждёт корпоративная скидка на такси :)


О команде

Фёдор Голубев - Технический директор Ситимобил

Технический директор

Фёдор Голубев

Технический директор

"Наша ИТ-команда не боится погружаться в любые технологии, работать очень интенсивно, экспериментировать и находить решения сложных вопросов. Вас ждут интересные задачи и работа в коллективе увлеченных профессионалов."

Отклик на вакансию