Главный инженер по безопасной разработке

Что предстоит делать

ООО "ВиаМоби" - группа компаний, занимающихся разработкой и поддержкой мобильных сервисов для операторов связи в РФ и СНГ. Мы создаем инновационные и хорошо спроектированные продукты, которыми пользуются уже более 7 000 000 пользователей. Вместе с ростом числа пользователей увеличивается количество операторов, становящихся нашими партнерами. Полезность сервисов и удобство их использования - наши основные приоритеты. Мы расширяемся и ищем в команду главного инженера по безопасной разработке, который будет выполнять задачи по безопасной разработке, внедрять SSDLC/DevSecOps-практики, снижать риски уязвимостей в продуктах, автоматизиовать проверку безопасности в CI/CD, повышать зрелость процессов разработки и защиты приложений.

• Построение и развитие процесса безопасной разработки;
• Внедрение DevSecOps-практик в процессы разработки;
• Автоматизация проверок безопасности в CI/CD;
• Анализ безопасности web-приложений, backend/frontend-компонентов и REST API;
• Работа с уязвимостями: выявление, анализ, приоритизация, постановка задач, контроль исправления и ретест;
• Проведение security review архитектуры, API, механизмов авторизации, аутентификации, хранения данных и интеграций;
• Подбор, внедрение и сопровождение инструментов SAST, DAST, SCA, secret scanning, container scanning, IaC scanning;
• Анализ защищённости приложений;
• Формирование требований к безопасной разработке и логированию событий безопасности;
• Анализ событий и логов в Kibana/ELK;
• Подготовка документации, инструкций, чек-листов и отчётов;
• Консультирование разработчиков, DevOps, QA и продуктовых команд;
• Развитие культуры безопасной разработки в компании.

Что ждём от вас

• Опыт в AppSec/DevSecOps/Secure SDLC;
• Понимание OWASP Top 10;
• Понимание web application security и REST API security;
• Опыт работы с SAST/SCA/DAST/secret scanning;
• Опыт внедрения проверок безопасности в CI/CD;
• Умение читать код и объяснять разработчикам найденные уязвимости.
• Понимание типовых рисков PHP, Python, Go, Vue-приложений;
• Понимание XSS, SSRF, IDOR, нарушение контроля доступа, небезопасная десериализация;
• Опыт работы с Git и GitLab/GitHub/Bitbucket;
• Понимание принципов безопасной аутентификации и авторизации;
• Умение анализировать REST API, роли, права, токены, scopes, JWT, access control;
• Опыт управления уязвимостями и постановки задач на исправление.
• Будет плюсом:
• Опыт внедрения SSDLC с нуля;
• Опыт threat modeling;
• Знание OWASP ASVS, OWASP SAMM, OWASP Cheat Sheets;
• Опыт работы с MariaDB и анализом рисков БД;
• Опыт работы с Kibana/ELK/OpenSearch;
• Опыт работы с Docker и Kubernetes;
• Опыт работы с Kafka, ClickHouse;
• Опыт с GitLab CI/CD, GitHub Actions, Jenkins, TeamCity, Bitbucket;
• Опыт с Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog и т.п.;
• Опыт написания внутренних стандартов безопасной разработки;
• Опыт обучения разработчиков;
• Желание развивать MLSecOps/AI Security-практики: безопасность ML/AI-сервисов, LLM-интеграций, prompt injection, data leakage, безопасность моделей, данных и ML-пайплайнов.
• Стек проекта:
• PHP (Laravel), Python, Go, Vue, REST API, MariaDB, Git, GitLab/GitHub/Bitbucket, GitLab CI/CD/GitHub Actions/Jenkins, Docker, Kubernetes, Kibana, ELK/OpenSearch, SAST, DAST, SCA, secret scanning, container scanning, IaC scanning, Semgrep, SonarQube, CodeQL, OWASP ZAP, Burp Suite, Nuclei, Trivy, Dependency-Check, Gitleaks, TruffleHog, OpenAPI/Swagger, Jira, Confluence/Teamly.

Что предлагаем