AppSec Technical Lead

Мы ищем AppSec Technical Lead — сильного hands-on эксперта по Application Security, который будет техническим лидером команды из 3 AppSec-инженеров.

Вам предстоит развивать практики secure SDLC и DevSecOps, работать с SAST/SCA/DAST/MAST, развивать автоматизацию security-проверок.

Вам предстоит:

• быть техническим лидером для команды AppSec-инженеров
• помогать команде принимать архитектурные и технические решения в области Application Security
• наставлять инженеров, помогать им развивать экспертизу в AppSec, DevSecOps, security code review и автоматизации
• проводить ревью технических решений, подходов к анализу уязвимостей, SAST-правил и security-автоматизаций
• участвовать в планировании работы команды совместно с Product Owner
• помогать приоритизировать задачи с учётом технических рисков, бизнес-контекста и загрузки команды
• быть единой точкой входа для PO продукта по вопросам AppSec: статусы, блокеры, риски, roadmap, технические ограничения и потребности команды.
• развивать интеграцию security-проверок в CI/CD
• разрабатывать и поддерживать правила для SAST-инструментов
• улучшать процессы работы с SAST/SCA/DAST/MAST: качество проверок, triage, отчётность, снижение false positives
• писать автоматизацию для интеграции сканеров, обработки результатов, обогащения находок и формирования метрик
• исследовать и тестировать новые инструменты проверки безопасности приложений
• помогать делать security-проверки более полезными для разработчиков и менее шумными для команд.

Что для нас важно:

• опыт в Application Security от 4 лет либо сопоставимый опыт в разработке с последующим переходом в security
• практический опыт технического лидерства, наставничества или координации работы AppSec/security-инженеров
• глубокое понимание secure SDLC, shift-left security и DevSecOps
• практический опыт работы с SAST, SCA, DAST и/или MAST-инструментами
• опыт интеграции security-проверок в CI/CD
• опыт security code review на одном или нескольких языках: Java/Kotlin, Go, Python
• уверенное владение одним из языков: Python/Java/Go
• опыт работы с Bash
• глубокое понимание OWASP Top 10, OWASP ASVS и OWASP Mobile Top 10
• понимание современных архитектур: микросервисы, REST/gRPC API, Kubernetes, контейнеризация
• опыт анализа результатов сканирования, валидации уязвимостей, поиска false positives и приоритизации рисков
• практический опыт взаимодействия с разработчиками по исправлению уязвимостей
• понимание специфики безопасности мобильных приложений
• опыт работы с MAST-инструментами
• понимание типовых рисков мобильных приложений: insecure storage, insecure communication, неправильная работа с secrets, jailbreak/root detection, reverse engineering risks, certificate pinning, tampering
• опыт анализа Android/iOS-приложений будет преимуществом.

Мы предлагаем:

• комфортный современный офис
• офисный формат работы
• ежегодный пересмотр зарплаты, годовая премия
• корпоративный спортзал и зоны отдыха
• более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
• программа адаптации и помощь руководителя на старте
• расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
• гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ
• бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров
• вознаграждение за рекомендацию друзей в команду Сбера.