Инженер по безопасной разработке / AppSec

MANGO OFFICE — лидер на рынке облачных коммуникаций в России с 2001 г., участник топ-20 крупнейших IT-разработчиков РФ. Наши филиалы работают в 18 городах России (более 1000 сотрудников). С нами уже более 55 000 компаний и их количество растет с каждым днем.

Наши клиенты: Skyeng; СитиМобил; Вкусвилл; Альфа Страхование, Сбер Маркет и многие другие.

В группу компаний под брендом MANGO OFFICE входит аккредитованная в Минцифре РФ ИТ-компания - М.Девелопер.

Мы в поиске Инженера по безопасной разработке в связи с расширением штата.

Раcсчитываем, что у тебя будет:

• Понимание основных принципов построения SSDLC
• Понимание основных принципов DevOps
• Умение автоматизировать рутинную деятельность с помощью скриптовых языков: Python / Bash
• Знание уязвимости из OWASP Top Ten, и понимание способов защиты от них
• Высшее образование в сфере ИТ / ИБ
• Знание как минимум одного языка программирования из стека:

Наш стек: C++, Java, PHP, JavaScript, Kotlin, Swift, Psql, фреймворки, ReactNative, Angular, React, Vue, Bitrix, Laravel, Spring, Qt

Будет плюсом:

• Опыт работы с SAST решениями (хотя бы одно из списка): CheckMarx / AppScreener / CodeQL / Semgrep / SonarQube, Fortify
• Опыт работы с DAST решениями: Acunetix, ZAP, Fortify
• Знание инструментов обеспечения безопасности микросервисной инфраструктуры приложений (kyverno, aquasec, stackrow, kubesec, trivy и т.д.)
• Умение работать с UNIX-подобными системами
• Опыт проведения пентестов/аудитов кода 1-2 года
• Опыт разработки от 1 года

Какие задачи нужно будет выполнять:

• Код ревью - ручное и с помощью SAST
• Статический анализ исходного кода с помощью Solar AppScreener, CodeQL, Semgrep, CheckMarx
• Разработка внутренней автоматизации: SSDLC, DevSecOps
• Интеграция инструментов SAST, DAST, SCA, ASOC в CI/CD
• Обеспечение безопасности микросервисной инфраструктуры приложений (k8s)
• Проведение комплексного анализа защищенности веб-приложений
• Организация и сопровождение процессов DAST сканирования
• Организация и сопровождение процессов Security Compliance
• Администрирование систем анализа приложений (SAST/SCA/DAST)
• Разработка вспомогательных сервисов ИБ (Python/JS/Go/Rust)

Что мы предлагаем:

• Все льготы для сотрудников как аккредитованная IT-компания;

• Достойный уровень заработной платы по результатам интервью;

• Гибкий график (начало рабочего дня в период с 8.00 до 11.00) удаленно или в офисе;

• Подключение к ДМС (после окончания испытательного срока);

• Возможность карьерного роста, развития в новых направлениях.

С нетерпением ждем ваших откликов :)