Ведущий инженер ИТ безопасности / DevSecOps / AppSec engineer

5Post — бизнес X5 Group, развивающий услуги доставки заказов из интернет-магазинов и маркетплейсов в пункты выдачи заказов и постаматы в магазинах «Пятерочка» и «Перекресток».

Обязанности:

• Проведение регулярного анализа безопасности приложений с помощью ручных и автоматизированных средств, выявление уязвимостей, составление отчетов и разработка рекомендаций для устранения уязвимостей;
• Интегрирование мер безопасности в каждый этап жизненного цикла разработки (SDLC), включая проектирование, разработку, тестирование и развертывание;
• Проведение статического (SAST) и динамического (DAST) для анализа кода и поведения приложений;
• Автоматизация процессов тестирования безопасности с помощью инструментов и скриптов для ускорения выявления и устранения уязвимостей;
• Проведение оценки безопасности сторонних библиотек, компонентов и сервисов, используемых в разработке приложений, для предотвращения возможных угроз;
• Анализ артефактов с автоматизированных средств тестирования информационной безопасности;
• Взаимодействие с командой разработки для устранения уязвимостей, внедрения исправлений и улучшений безопасности;
• Обеспечение соблюдения внутренних и внешних стандартов безопасности, таких как ГОСТ Р 56939-2024, OWASP, NIST и поддерживание соответствия требованиям внутренних нормативных документов и регуляторов ФСТЭК;
• Внедрение процессов и методик безопасного программирования (Secure Coding) для команд разработки;
• Анализ текущих и новых угроз, отслеживание трендов в сфере кибербезопасности и предложение проактивных мер защиты для проектов;
• Участие в расследовании инцидентов, связанных с курируемыми продуктами/проектами.

• Высшее профессиональное образование в области информационной безопасности;
• Не менее 6 лет опыта работы в сфере разработки и поставки ПО;
• Глубокое понимание киберугроз и уязвимостей приложений (SQL Injection, XSS, CSRF, XXE и др.) и методов их предотвращения;
• Знание ключевых стандартов безопасности, таких как OWASP Top 10, CWE/SANS Top 25, моделей угроз и методологий, например STRIDE;
• Знание методов статического (SAST), динамического (DAST) и интерактивного анализа (IAST) безопасности и инструментов для их реализации;
• Опыт работы с инструментами анализа безопасности, такими как Burp Suite, OWASP ZAP, Solar App-screener, PTAI, BlackBox и др;
• Понимание этапов разработки, их влияния на безопасность и принципов AppSec;
• Знание процессов CI/CD и принципов интеграции мер безопасности на каждом этапе разработки;
• Знание стандартов и требований безопасности для соблюдения регуляторных норм (ГОСТ Р 56939-2024, GDPR, PCI DSS, HIPAA, ISO 27001 и др.).
• Умение проводить статический, динамический и интерактивный анализ кода и конфигураций для обнаружения уязвимостей;
• Навыки внедрения мер безопасности в процессы разработки и CI/CD с учетом AppSec и DevSecOps принципов, понимание принципов виртуализации и контейнеризации ( Docker, Kubernetes);
• Знание языков программирования (например, Python, Java, JavaScript, C#) и принципов безопасного программирования (Secure Coding);
• Опыт проведения аудитов безопасности, анализа рисков и тестирования на проникновение для выявления потенциальных уязвимостей;
• Опыт тестирования Android/iOS приложений (знание MASTG).

• Работа в динамично развивающемся бизнесе 5Post - интересные задачи и возможности для профессионального роста;
• Мотивация: оклад + годовой бонус;
• График работы: 5/2 с 9.00-18.15; в пятницу сокращенный рабочий день (гибрид - 3 дня офиса/2 дня удаленки);
• Место работы - м. Волгоградский проспект (от метро 5 минут на корпоративном автобусе), МЦД Калитники (7 минут пешком);
• Бесплатная парковка;
• Современный офис с развитой инфраструктурой - зоны отдыха, спортивные площадки, столовая, кофейни, магазин "Перекресток", врач на территории;
• Пакет ДМС, включая выезд за рубеж и стоматологию, страхование жизни и здоровья (после прохождения испытательного срока);
• Возможность учиться и развиваться за счёт компании: внешние тренинги и семинары по профессиональным тематикам, участие в крупнейших конференциях страны, программы развития цифровых и управленческих навыков, онлайн и офлайн мастер-классы, корпоративный университет «X5 Полка», школа наставников и многое другое;

• Скидки в экосистеме бизнесов Х5 («Пятёрочка», «Перекрёсток», «Много лосося», «Перекресток Впрок»).

• Программа привилегий Prime-zone (скидки на товары и услуги и специальные предложения от компаний-партнёров).