Наша команда кибербезопасности продолжает расти, и сейчас мы в поисках опытного инженера по безопасной разработке, который поможет нам усилить процессы защиты программного обеспечения на всех этапах его жизненного цикла.  

Наш будущий коллега будет заниматься поиском и анализом уязвимостей в коде и ПО, внедрением инструментов и сервисов безопасной разработки, а также выстраиванием и совершенствованием процессов. Нам важно, чтобы ты не только находил уязвимости, но и помогал командам их устранять, разрабатывал стандарты и обучал коллег принципам безопасной разработки.  

Если тебе интересно работать в сильной команде, внедрять лучшие практики и делать продукты безопаснее — будем рады познакомиться!

Обязанности

1. Поиск и анализ уязвимостей в программном обеспечении (ПО) и в исходном программном коде собственной разработки и разработанном подрядчиками:

• Поиск и анализ уязвимостей в программном коде и внешних зависимостях
• Поиск и анализ уязвимостей в прикладном ПО
• Анализ выявленных уязвимостей и разработка рекомендаций по их устранению
• Взаимодействие с ответственными за устранение уязвимостей, контроль их выполнения

2. Внедрение и сопровождение инструментов и сервисов по безопасной разработке ПО:

• SAST/DAST/SCA/Vault и др.
• Настройка конфигурации безопасных CI/CD пайплайнов
• Внедрение в конвейера CI/CD продуктовых команд разработки ПО инструментов и сервисов по безопасной разработке ПО

3. Внедрение и усовершенствование процессов по безопасной разработке ПО:

• Проведение аудита текущих процессов по безопасной разработке ПО
• Разработка стратегии и необходимых стандартов и регламентов по безопасной разработке ПО
• Разработка и внедрение рекомендаций по усилению безопасности в процессах по безопасной разработке ПО
• Обучение сотрудников продуктовых команд разработки ПО стандартам безопасной разработки ПО

4. Взаимодействие со смежными подразделениями по выстраиванию процессов безопасной разработке ПО:

• Взаимодействие с продуктовыми командами разработки ПО
• Взаимодействие с командами DevOps/DevSecOps
• Участие в согласовании релизов и новых сборок ПО

• Высшее техническое образование в области ИТ или ИБ 
• Опыт работы на аналогичной должности не менее 3-х лет
• Опыт разработки ПО
• Понимание процессов и процедур DevSecOps
• Опыт разработки Python: написание скриптов для автоматизации задач и процессов по безопасной разработке ПО
• Опыт работы с различными инструментами по безопасной разработке ПО, т.к. SAST/DAST/CSA

• 2ГИС — аккредитованная IT-компания.
• У нас можно работать удалённо. Для нас важен специалист, а не его локация. Если хочешь работать в гибридном формате, у нас есть офисы в Москве, Санкт-Петербурге, два классных офиса в Новосибирске. А также коворкинги в Нижнем Новгороде, Томске, Астане, Алма-Ате.
• График не главное. Кто-то начинает работу в 9, кто-то в 11, а кто-то — когда удобно ему и команде. Главное — выполнять задачи в срок и быть на связи с коллегами.
• Само собой, полностью белая зарплата, размер обсуждается на собеседовании, потолка нет.
• Есть ДМС, штатный терапевт, невролог, мед.консультант и другие IT-плюшки.
• Если хочешь делиться своим опытом, мы только за — поможем с выступлениями на конференциях и статьями для Хабра.