Старший DevSecOps | AppSec менеджер

Что предстоит делать

Мы ищем Senior DevSecOps | AppSec Manager для присоединения к нашей команде. Это практическая роль для человека, который умеет тесно работать с инженерными командами, внедрять безопасность в жизненный цикл разработки и превращать реальные уязвимости в практические исправления — а не просто в отчеты. Если вам нравится быть в центре событий, ежедневно взаимодействовать с разработчиками и выстраивать культуру безопасности изнутри, мы будем рады с вами познакомиться. Проект Вы будете работать встроенно в команды доставки по нескольким продуктам, сотрудничая с tech-лидами команд и вертикальными лидами для интеграции практик безопасности в CI/CD пайплайны, проверки облачных конфигураций и конфигураций приложений, а также продвижения подхода shift-left безопасности во всей организации. Среда — cloud-native, на базе GitHub и AWS — быстро развивающаяся и ориентированная на инженерию. Технические требования: 5+ лет практического опыта в Application Security / Product Security / DevSecOps с непосредственной работой с инженерными командами. Сильный опыт работы с инструментарием AppSec: SAST, SCA, сканирование кода, GitHub / GitHub Advanced Security / SonarQube / Dependabot и интеграция с CI/CD. Умение читать код, оценивать реальные риски и внедрять практические исправления (а не просто отмечать проблемы). Навыки SSDLC / shift-left: моделирование угроз, ревью безопасности дизайна, управление уязвимостями. Глубокое понимание основ безопасности приложений и API: authN/authZ, управление секретами, зависимости, инъекции, защита данных. Опыт работы с cloud-native доставкой: контейнеры, IaC, Git-based рабочие процессы, автоматизация и четкая документация. Английский — Upper-Intermediate (B2) или выше. Украинский — свободно. Будет плюсом: Опыт сканирования IaC, безопасности контейнеров/образов, цепочки поставок ПО и управления секретами. Опыт в области безопасности AWS cloud. Опыт работы в регулируемых, чувствительных к аудиту или критически важных средах. Чем вы будете заниматься: Непосредственно работать с командами разработки для внедрения сканирования безопасности в их CI/CD пайплайны. Выявлять и оценивать уязвимости в цепочке поставок ПО, консультируя по приоритетности рисков и их устранению. Проверять конфигурации GitHub и AWS в контексте разработки приложений и развернутых сред. Проводить ревью безопасности дизайна и участвовать в сессиях моделирования угроз. Обновлять и поддерживать отчетность по уязвимостям, сотрудничая с tech-лидами команд и вертикальными лидами для проверки и обработки результатов. Продвигать практики shift-left безопасности и помогать формировать сильную культуру безопасности среди инженерных команд. Почему стоит присоединиться к Empeek? ✨ Сложные и значимые продукты — сложные архитектуры, современные технологии и решения, которые действительно приносят пользу. Профессиональный рост — индивидуальный план развития, наставничество, карьерные карты и возможности для перехода на новые роли и обязанности. Сильная командная культура — мы разделяем общую миссию, ценности и страсть к тому, что делаем. Гибкость и ответственность — свобода выбора формата и графика работы, ориентация на результат и реальное влияние на успех компании.

Что предлагаем