Главный инженер по безопасной разработке

ООО "ВиаМоби" - группа компаний, занимающихся разработкой и поддержкой мобильных сервисов для операторов связи в РФ и СНГ.

Мы создаем инновационные и хорошо спроектированные продукты, которыми пользуются уже более 7 000 000 пользователей. Вместе с ростом числа пользователей увеличивается количество операторов, становящихся нашими партнерами.

Полезность сервисов и удобство их использования - наши основные

приоритеты.

Мы расширяемся и ищем в команду главного инженера по безопасной разработке, который будет выполнять задачи по безопасной разработке, внедрять SSDLC/DevSecOps-практики, снижать риски уязвимостей в продуктах, автоматизиовать проверку безопасности в CI/CD, повышать зрелость процессов разработки и защиты приложений.

Обязанности:

• Построение и развитие процесса безопасной разработки;
• Внедрение DevSecOps-практик в процессы разработки;
• Автоматизация проверок безопасности в CI/CD;
• Анализ безопасности web-приложений, backend/frontend-компонентов и REST API;
• Работа с уязвимостями: выявление, анализ, приоритизация, постановка задач, контроль исправления и ретест;
• Проведение security review архитектуры, API, механизмов авторизации, аутентификации, хранения данных и интеграций;
• Подбор, внедрение и сопровождение инструментов SAST, DAST, SCA, secret scanning, container scanning, IaC scanning;
• Анализ защищённости приложений;
• Формирование требований к безопасной разработке и логированию событий безопасности;
• Анализ событий и логов в Kibana/ELK;
• Подготовка документации, инструкций, чек-листов и отчётов;
• Консультирование разработчиков, DevOps, QA и продуктовых команд;
• Развитие культуры безопасной разработки в компании.

Требования:

• Опыт в AppSec/DevSecOps/Secure SDLC;
• Понимание OWASP Top 10;
• Понимание web application security и REST API security;
• Опыт работы с SAST/SCA/DAST/secret scanning;
• Опыт внедрения проверок безопасности в CI/CD;
• Умение читать код и объяснять разработчикам найденные уязвимости.
• Понимание типовых рисков PHP, Python, Go, Vue-приложений;
• Понимание XSS, SSRF, IDOR, нарушение контроля доступа, небезопасная десериализация;
• Опыт работы с Git и GitLab/GitHub/Bitbucket;
• Понимание принципов безопасной аутентификации и авторизации;
• Умение анализировать REST API, роли, права, токены, scopes, JWT, access control;
• Опыт управления уязвимостями и постановки задач на исправление.

Будет плюсом:

• Опыт внедрения SSDLC с нуля;
• Опыт threat modeling;
• Знание OWASP ASVS, OWASP SAMM, OWASP Cheat Sheets;
• Опыт работы с MariaDB и анализом рисков БД;
• Опыт работы с Kibana/ELK/OpenSearch;
• Опыт работы с Docker и Kubernetes;
• Опыт работы с Kafka, ClickHouse;
• Опыт с GitLab CI/CD, GitHub Actions, Jenkins, TeamCity, Bitbucket;
• Опыт с Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog и т.п.;
• Опыт написания внутренних стандартов безопасной разработки;
• Опыт обучения разработчиков;
• Желание развивать MLSecOps/AI Security-практики: безопасность ML/AI-сервисов, LLM-интеграций, prompt injection, data leakage, безопасность моделей, данных и ML-пайплайнов.

Стек проекта:

PHP (Laravel), Python, Go, Vue, REST API, MariaDB, Git, GitLab/GitHub/Bitbucket, GitLab CI/CD/GitHub Actions/Jenkins, Docker, Kubernetes, Kibana, ELK/OpenSearch, SAST, DAST, SCA, secret scanning, container scanning, IaC scanning, Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog, OpenAPI/Swagger, Jira, Confluence/Teamly.

Условия:

• Официальное трудоустройство в аккредитованной ИТ компании;
• Удаленный формат работы с гибким началом дня;
• Адекватное руководство без бюрократии;
• Возможность участия в создании продукта для сотен тысяч пользователей;
• Корпоративы, подарки к праздникам;
• Профессиональный и карьерный рост.

Стань частью команды ВиаМоби!