Ланит

AppSec / DevSecOps

1w ago
Russia
Ланит

AppSec / DevSecOps

1w ago
Russiasecurity by designsastsecrets detectionscadastdockercisemgrep+24

Ланит — команда профессионалов, реализующая проекты федерального уровня и развивающая культуру безопасной разработки с акцентом на автоматизацию процессов и инженерную безопасность.

About the company

  • Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ».
  • Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений.

About the product

  • Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду.
  • Создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые помогают бизнесу и делают продукты более конкурентоспособными.

Responsibilities

  • Внедрять практики security by design в продуктовые команды.
  • Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker).
  • Реализовывать security и quality gates, secret management и vulnerability management.
  • Писать и кастомизировать тесты для CI.
  • Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative.
  • Интегрировать технические решения для использования сценариев Golden Repository.
  • Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo.
  • Подготавливать и анализировать метрики для контроля поставок кода на базе VMP.
  • Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры.
  • Проводить security code review сервисов перед релизом.
  • Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов.

Requirements

  • Умение находить и устранять уязвимости из OWASP Top 10 (не только веб).
  • Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck.
  • Понимание принципов построения SSDLC.
  • Навыки работы с PoC для доказательной базы.
  • Опыт автоматизации процессов через API (например, с использованием Swagger).
  • Опыт внедрения процедур безопасной разработки.
  • Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др.
  • Умение работать с конфигурациями на YAML и писать сценарии.
  • Знание архитектурных паттернов.
  • Понимание сетей и интеграции инструментов безопасности в SDLC.

Nice to have

  • Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике.
  • Понимание принципов STLC.
  • Знание работы веб-серверов (Nginx, Apache).
  • Знание протоколов MQTT, CoAP.
  • Опыт работы с песочницами.
  • Навыки разработки, анализа чужого кода и проведения security code review.
  • Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580.

Conditions

  • ЗП: до 300 000 на руки

Found in@appsec_job