Ведущий DevSecOps / Application Security специалист

Что предстоит делать

<p><strong>О роли</strong></p><p>Мы ищем опытного Lead DevSecOps / специалиста по безопасности приложений, который будет развивать практики безопасной разработки ПО, укреплять безопасность приложений и руководить инициативами в области безопасности в современных cloud-native средах. Эта роль сочетает практическое техническое лидерство со стратегическим управлением процессами безопасности, управлением рисками и инициативами по обеспечению соответствия требованиям.</p><p><strong>Формат:</strong> Полная занятость (40 часов в неделю)<br><strong>Продолжительность:</strong> Долгосрочный проект (первоначальный контракт на 6 месяцев с высокой вероятностью продления)</p><p><strong>Обязанности</strong></p><ul><li>Руководить и наставлять команду специалистов по безопасности, формируя сильную культуру безопасности в инженерных и операционных командах.</li><li>Создавать, улучшать и постоянно совершенствовать системы безопасности, процессы и структуры управления.</li><li>Обеспечивать внедрение технических, операционных, кадровых и аудиторских средств контроля для снижения организационных рисков.</li><li>Управлять инициативами в области безопасности, расставлять приоритеты на основе влияния на бизнес и уровня риска, определять измеримые цели.</li><li>Разрабатывать, поддерживать и развивать стратегию кибербезопасности организации.</li><li>Контролировать внедрение и соблюдение политик, стандартов и руководств по безопасности.</li><li>Тесно сотрудничать с инженерными командами для интеграции безопасности на протяжении всего жизненного цикла разработки ПО (SSDLC) и продвигать практики shift-left безопасности.</li><li>Проводить моделирование угроз, анализ безопасности архитектуры, оценку уязвимостей и планирование их устранения.</li><li>Создавать и улучшать процессы управления уязвимостями, обеспечивая своевременное выявление и устранение проблем безопасности.</li><li>Обеспечивать соответствие применимым нормативным и отраслевым требованиям, включая PCI, SOX, а также средства контроля безопасности, соответствующие практикам ISO и ITIL.</li><li>Руководить разработкой, тестированием и поддержкой планов реагирования на инциденты и восстановления после сбоев.</li><li>Отслеживать новые угрозы, тенденции и технологии в области безопасности, применяя соответствующие улучшения к средствам контроля и процессам безопасности.</li><li>Поддерживать практики безопасной cloud-native доставки, включая контейнерные среды, Infrastructure as Code (IaC), CI/CD пайплайны и безопасность цепочки поставок ПО.</li></ul><p><strong>Требования (обязательные)</strong></p><ul><li>8+ лет практического опыта в области безопасности приложений, безопасности продуктов, DevSecOps или смежных инженерных ролях в сфере безопасности.</li><li>Подтвержденный опыт непосредственного сотрудничества с командами разработки ПО для улучшения безопасности приложений.</li><li>Сильный практический опыт работы с инструментарием AppSec, включая:<br><ul><li>SAST (статическое тестирование безопасности приложений)</li><li>SCA (анализ состава ПО)</li><li>Решения для сканирования кода</li><li>GitHub и GitHub Advanced Security</li><li>SonarQube</li><li>Dependabot</li><li>Интеграция безопасности в CI/CD</li></ul></li><li>Способность проверять исходный код, оценивать реальные риски и инициировать практические, ориентированные на бизнес, меры по устранению.</li><li>Глубокое понимание методологий SSDLC и shift-left безопасности.</li><li>Опыт проведения моделирования угроз, анализа архитектуры безопасности и управления уязвимостями.</li><li>Глубокие знания безопасности приложений и API, включая:<br><ul><li>Аутентификацию и авторизацию (AuthN/AuthZ)</li><li>Управление секретами</li><li>Управление рисками зависимостей и сторонних компонентов</li><li>Уязвимости инъекций</li><li>Принципы защиты данных</li></ul></li><li>Опыт работы в средах cloud-native разработки и доставки, включая контейнеры, Infrastructure as Code, Git-ориентированные рабочие процессы, автоматизацию и техническую документацию.</li><li>Отличные коммуникативные навыки и навыки управления заинтересованными сторонами, способность влиять на техническую и бизнес-аудиторию.</li></ul><p><strong>Будет плюсом</strong></p><ul><li>Опыт сканирования безопасности Infrastructure as Code (IaC).</li><li>Экспертиза в области безопасности контейнеров и образов контейнеров.</li><li>Опыт обеспечения безопасности цепочки поставок ПО.</li><li>Продвинутые знания в управлении секретами.</li><li>Опыт обеспечения безопасности AWS.</li><li>Опыт работы в регулируемых, ориентированных на соответствие требованиям, чувствительных к аудиту или критически важных для бизнеса средах.</li><li>Знакомство с PCI DSS, SOX, ISO 27001, ITIL и связанными структурами управления.</li></ul><p><strong>Что предлагает AppRecode</strong></p><ul><li>20 дней оплачиваемого ежегодного отпуска плюс государственные праздники.</li><li>5 оплачиваемых больничных дней в год.</li><li>Удаленная работа.</li><li>Дружелюбная и поддерживающая командная культура.</li><li>Планы личного развития и доступ к опытным наставникам и техническим лидерам.</li><li>Компенсация расходов на спорт и профессиональные сертификации (после испытательного срока).</li><li>Постоянные возможности для обучения: внутренние тренинги и сессии по обмену знаниями.</li><li>Бесплатные занятия английским языком, если вы хотите улучшить свои коммуникативные навыки.</li></ul>