Ланит
AppSec / DevSecOps
1w ago
Russiasecurity by designsastsecrets detectionscadastdockercisemgrep+24
Ланит — команда профессионалов, реализующая проекты федерального уровня и развивающая культуру безопасной разработки с акцентом на автоматизацию процессов и инженерную безопасность.
About the company
- Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ».
- Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений.
About the product
- Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду.
- Создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые помогают бизнесу и делают продукты более конкурентоспособными.
Responsibilities
- Внедрять практики security by design в продуктовые команды.
- Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker).
- Реализовывать security и quality gates, secret management и vulnerability management.
- Писать и кастомизировать тесты для CI.
- Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative.
- Интегрировать технические решения для использования сценариев Golden Repository.
- Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo.
- Подготавливать и анализировать метрики для контроля поставок кода на базе VMP.
- Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры.
- Проводить security code review сервисов перед релизом.
- Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов.
Requirements
- Умение находить и устранять уязвимости из OWASP Top 10 (не только веб).
- Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck.
- Понимание принципов построения SSDLC.
- Навыки работы с PoC для доказательной базы.
- Опыт автоматизации процессов через API (например, с использованием Swagger).
- Опыт внедрения процедур безопасной разработки.
- Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др.
- Умение работать с конфигурациями на YAML и писать сценарии.
- Знание архитектурных паттернов.
- Понимание сетей и интеграции инструментов безопасности в SDLC.
Nice to have
- Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике.
- Понимание принципов STLC.
- Знание работы веб-серверов (Nginx, Apache).
- Знание протоколов MQTT, CoAP.
- Опыт работы с песочницами.
- Навыки разработки, анализа чужого кода и проведения security code review.
- Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580.
Conditions
- ЗП: до 300 000 на руки
Found in@appsec_job