Старший эксперт по безопасной разработке

БФТ-Холдинг (входит в группу компаний «Ростелеком») – российский разработчик программных продуктов и заказных решений для государственного сектора и бизнеса.Проекты, выполняемые нами, меняют в лучшую сторону жизнь людей по всей стране!За 27 лет на IT-рынке:· более 6500 проектов в 83 регионах и более 15 масштабных федеральных проектов· в ТОП-10 крупнейших поставщиков услуг заказной разработки ПО· в ТОП-5 компаний по поставке ИТ-решений из реестра отечественного программного обеспечения· в ТОП-10 самых быстрорастущих ИТ-компаний
Обязанности:
Обеспечивать и развивать процессы безопасной разработки (AppSec best practices, ГОСТ Р 58412, ГОСТ 56939); Участвовать в разработке требований по безопасности в проектах и продуктах;Проводить моделирование угроз. Интегрировать инструменты безопасной разработки в процессы разработки, разрабатывать рекомендации и требования по настройке. Проводить аудиты безопасности разрабатываемых продуктов (security architecture review, анализ результатов работы инструментов безопасной разработки, White/Gray Box Pentesting etc).Подготавливать рекомендации по устранению выявленных недостатков в проектных решения, коде и т.д . Проводить консультации разработчиков в части разработки безопасного кода.При возможности, самостоятельно проводить ревью кода (java, kotlin, c#) в разрезре безопасности. Подготовка Security Champions в командах разработки; проведение обучения в командах; Сопровождение проектов аудита программных продуктов и проектов внешними подрядчиками. Работа с инцидентами ИБ на этапе эксплуатации, подготовка рекомендаций по устранению выявленных проблем и улучшению процессов БРПО.
Требования:
Знание техник обхода СЗИ. Знание и понимание основных методов и способов эксплуатации уязвимостей в программном коде, практические навыки по их устранению. OWASP, CWE. Навыки формулирования требований по безопасности, моделирования угроз. Опыт проведения аудитов безопасности программных продуктов и платформ. Опыт использования и интеграции инструментов статического, динамического анализа и фаззинга Знания принципов работы и аспектов безопасности современных систем (микросервисы, облачные технологии, REST API, gRPC, OAuth2.0/OpenID).
Условия:
Работа в аккредитованной ИТ-Компании, занимающей лидирующие позиции на рынке ДМС после испытательного срока с возможностью страхования детей и родственников Спорт и изучение английского языка со скидкой Корпоративная валюта, с помощью которой можно приобрести ценные подарки, компенсировать расходы на детский лагерь или занятия спортом. Праздники и ивенты — неотъемлемая часть нашей корпоративной культуры Удобные процессы: оформляем кадровые документы в электронном виде онлайн и без бумаги И, конечно же, у нас всё прозрачно и надежно: белое оформление по ТК РФ