Инженер по безопасности приложений

Ищем инженера по безопасности приложений в команду, которая развивает внутренние инструменты безопасности для разработки. Это роль на стыке безопасности приложений, разработки и DevSecOps: вы будете не только находить риски, но и превращать требования безопасности в удобные автоматизированные проверки, встроенные в повседневный процесс разработки. Команда развивает и внедряет инструменты, которые помогают выявлять проблемы безопасности на разных этапах жизненного цикла разработки: на уровне исходного кода, зависимостей, интерфейсов взаимодействия, мобильных приложений и процессов поставки. Роль предполагает заметную инженерную составляющую: проектирование проверок, исследование подходов, интеграции и развитие корпоративных решений для практик SAST, SCA, DAST, MAST и смежных направлений.### Тебе предстоит: * развивать инструменты проверки безопасности приложений, встроенные в процесс разработки * разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для различных классов задач: анализ исходного кода, зависимостей, секретов, API и других артефактов разработки * проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки * разрабатывать и поддерживать правила и автоматизацию для практик SAST, SCA, DAST, MAST и смежных направлений * интегрировать инструменты безопасности в secure SDLC и CI/CD так, чтобы они были полезны разработчикам и не создавали лишних затруднений в работе * проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений на ранних этапах * валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости по уровню технических и бизнес-рисков для настройки правил и автоматизации * помогать командам разработки устранять уязвимости: объяснять причины, риски и варианты исправления понятным инженерным языком * искать точки, где ручную экспертизу можно превратить в автоматизированную проверку * участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений в зависимости от потребностей команды и компании.### Что для нас важно: * практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки программного обеспечения с заметным переходом в направление безопасности * уверенное владение хотя бы одним языком программирования для разработки и автоматизации: Python/Go/Java будут преимуществом * понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки * опыт работы с инструментами и подходами из областей SAST/SCA/secret scanning/API * опыт интеграции проверок безопасности в CI/CD * практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей хотя бы для части из следующих стеков: Java, Go, Python, JavaScript/TypeScript, PHP, C/C++ * хорошее понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API * понимание современных архитектур: микросервисы, REST/gRPC, Kubernetes, контейнеризация * умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить его до рабочего результата. **Будет плюсом:** * опыт разработки или доработки плагинов для IDE, линтеров, статических анализаторов или внутренних инструментов для разработчиков * практический опыт в безопасности API * опыт построения корпоративных решений или внутренних платформ безопасности * знание подходов к проверке контрактов API и соответствия реализации спецификации * опыт работы с подходами к моделированию угроз * знания в области безопасности мобильных приложений: OWASP Mobile Top 10, MASVS, OWASP MASTG * практический опыт анализа и тестирования безопасности мобильных приложений с использованием инструментов вроде jadx, apktool, MobSF и аналогичных * участие в bug bounty, CTF или open-source проектах * опыт поиска и снижения доли ложных срабатываний в инструментах безопасности * инструментальное владение AI для анализа, генерации и автоматизации. **Что важно в этой роли:** * умение говорить с разработчиками на одном языке и помогать им решать проблему, а не просто передавать найденные замечания * инженерный склад мышления: для нас важно не только увидеть риск, но и встроить защиту в процесс так, чтобы она реально работала в масштабе * способность балансировать между глубиной анализа безопасности и удобством для внутренних пользователей инструментов.### Мы предлагаем: * комфортный современный офис * офисный формат работы * ежегодный пересмотр зарплаты, годовая премия * корпоративный спортзал и зоны отдыха * более 400 образовательных программ СберУниверситета для профессионального и карьерного развития * программа адаптации и помощь руководителя на старте * расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа * гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ * бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров * вознаграждение за рекомендацию друзей в команду Сбера.