Центр информационной безопасности компании «Инфосистемы Джет» – это профессиональное сообщество специалистов по ИБ. Мы защищаем бизнес наших заказчиков от киберугроз уже более 20 лет. Сегодня наша команда – это более 200 экспертов, реализующих 300 комплексных проектов в год на базе 150 решений российских и зарубежных вендоров. Наша главная задача – создание и внедрение систем, обеспечивающих реальную безопасность бизнеса.

В отдел систем мониторинга информационной безопасности и защиты приложений мы ищем DevSecOps инженера (направление Application Security).

Чем предстоит заниматься:

• Принимать участие в проектах по проектированию, внедрению и настройке инструментов ИБ в части Application Security, в том числе:
  • выявлять потребности Заказчика;
  • разрабатывать документацию;
  • внедрять процессы на основе лучших практик DevSecOps;
  • интерпретировать результаты анализа, фильтровать ложные срабатывания и оказывать консультации Заказчику в части устранения уязвимостей;
  • встраивать инструменты ИБ в среды разработки Заказчика и осуществлять тюнинг настроек средств анализа безопасности кода приложений;
• Принимать участие в проведении комплексных аудитов безопасности (контур DevSecOps);
• Консультировать Заказчиков по вопросам выстраивания процессов безопасной разработки и внедрению инструментов ИБ в части Application Security;
• Принимать активное участие в развитии направления DevSecOps в части Application Security, например:
  • участвовать в подготовке материала по направлению и конкретным продуктам (презентации, технико-коммерческие предложения и т. д.);
  • проводить демонстрации для Заказчиков;
  • тестировать новые продукты;
  • участвовать в обмене опытом внутри команды.

Требования:

• Понимание основных принципов работы современных приложений, процессов CI/CD и безопасной разработки (S-SDLC/DevSecOps);
• Опыт работы с инструментальным стеком разработки: SCM, CI/CD, Containerization/Container Orchestration, Registry;
• Понимание классификации уязвимостей согласно стандартам OWASP Top 10 2017, OWASP Mobile Top 10 2016, SANS 25;
• Понимание логики работы, основных отличий и места в жизненном цикле разработки приложений для следующих классов решений средств анализа безопасности кода приложений: SAST/OAST/DAST/IAST/RASP;
• Опыт проведения ручного и автоматизированного анализа безопасности кода приложений с использованием решений хотя бы одного из классов SAST/OAST/IAST, включая разбор результатов анализа, фильтрацию ложных срабатываний и выдачу рекомендаций по устранению найденных уязвимостей.

Является преимуществом:

• Внедрение практик BSIMM/SAMM/DSOMM;
• Опыт построения конвейера разработки «под ключ»;
• Опыт разработки приложений хотя бы на одном из языков: Java, Python, Ruby, Go, PHP, JavaScript, Swift, Kotlin;
• Опыт работы с Jenkins, GitLab CI, TeamCity, Maven, BitBucket, Docker, Kubernetes, RedHat OpenShift;
• Опыт работы с одним или несколькими продуктами: Solar Appscreener, Checkmarx, Veracode, Microfocus Fortify, Contrast Security, Nexus IQ;
• Знание Linux-систем и умение писать скрипты для автоматизации задач (например, bash, python);
• Опыт работы с API и сборки контейнеров

• Офис в пешей доступности от м. Савеловская
• Работу в команде экспертов по информационной безопасности
• Профессиональное обучение и сертификации за счёт компании
• Возможность карьерного роста внутри команды
• Оформление по ТК РФ
• Заработную плату по результатам собеседования + премии по итогам работы
• Социальный пакет с возможностью выбора между ДМС, изучением иностранных языков и абонементом в фитнес-центр
• Буфеты на территории компании, бесплатные завтраки для тех, кто любит приехать в офис пораньше
• Возможность принять участие в ключевых конференциях по ИБ в качестве спикеров и участников, сразиться с хакерами на PHD и поучаствовать в CTF
• Совместный досуг на выбор: бег, дайвинг, велоспорт, борд, лыжи, пинг-понг, страйкбол или просто PlayStation