Описание вакансии
Мы - команда ООО "Салют для бизнеса", дочерняя организация Сбера, мы занимаем лидирующие позиции в сфере коммерциализации технологии GenAI с продуктом GigaChat. Мы предлагаем полный цикл решений: LLM-модель GigaChat для локальной и облачной инсталляции, инфраструктуру для GenAI, платформу для разработки агентных систем, готовые GenAI-решения для быстрого старта в типовых задачах, реализацию уникальных клиентских кейсов, консалтинг по GenAI-трансформации. В своей работе мы помогаем нашим партнерам перейти от экспериментов с технологией к промышленному масштабированию, обеспечивая безопасность, адаптивность и экономическую выгоду.
Обязанности:
- Выстраивать и развивать процессы безопасной разработки: SSDLC, security gates, требования к безопасной разработке;
-
Внедрять и сопровождать security-инструменты в CI/CD-пайплайнах;
Настраивать и развивать проверки:
- SAST;
- DAST;
- SCA;
- secret detection;
- container security;
- IaC / Kubernetes security.
- Анализировать результаты сканирований, валидировать сработки и готовить рекомендации для разработки;
- Работать с уязвимостями в исходном коде, зависимостях, Docker-образах и Kubernetes-конфигурациях;
- Проводить базовый black box / grey box анализ веб-приложений;
- Участвовать в публикации сервисов за WAF и настройке правил защиты;
- Внедрять и сопровождать secrets management.
- Участвовать в харденинге Kubernetes-кластеров, в том числе по CIS benchmarks;
- Консультировать разработчиков, DevOps и продуктовые команды по вопросам безопасной разработки;
-
Подготавливать внутренние рекомендации, инструкции и регламенты по AppSec / DevSecOps.
Требования:
- Опыт в Application Security / DevSecOps / информационной безопасности от 3 лет.
- Практический опыт внедрения SSDLC в процессы разработки;
- Опыт настройки security-проверок в CI/CD.
- Понимание OWASP Top 10 и типовых методов защиты веб-приложений;
- Опыт работы с SAST, DAST, SCA и secret detection;
- Опыт анализа уязвимостей в коде, зависимостях и контейнерных образах;
- Опыт работы с Docker и Kubernetes.
- Понимание Helm, GitOps-подхода, ArgoCD или аналогичных инструментов;
- Опыт работы с WAF;
- Умение разбираться в сработках сканеров и объяснять разработчикам, что именно нужно исправить;
- Базовые навыки scripting: Python / Bash.
- Умение работать с Linux и базовое понимание сетевой безопасности.
Будет плюсом:
- Опыт работы с SonarQube, Dependency Track, Gitleaks, Trivy, OWASP ZAP, DefectDojo;
- Опыт внедрения HashiCorp Vault или другого secrets management решения;
- Опыт Kubernetes runtime security;
- Опыт работы с kube-bench, CIS benchmarks;
- Опыт работы с Terraform / OpenTofu;
- Опыт пентеста веб-приложений с использованием Burp Suite / ZAP;
- Опыт построения процессов AppSec с нуля;
- Английский на уровне чтения технической документации и выше.
Условия:
- Достойная заработная плата + годовой бонус
- Сильная команда
- ДМС, с первого рабочего дня
- Работа в аккредитованной IT компании
- Льготная ипотека от Сбера
- Гибридный формат работы
- Локация: Москва, м. Цв. Бульвар