Application Security Engineer

Tilda это международный продукт, который работает на стыке дизайна и программирования. Мы помогаем тысячам людей развивать свои проекты в digital среде. Ищем Application Security /DevSecOps специалиста, который будет участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности, реализует процесс безопасной разработки (SSDLC) и внедрит автоматизированные инструменты сканирования. Что нужно будет делать: Реализовывать и поддерживать процесс безопасной разработки программного обеспечения (SSDLC): Определять требований Git-flow для команд; Внедрять практики Singed Commit, Signed Artifacts, Code Owners; Внедрять SAST решения; Внедрять Secrets Detection решения; Внедрять SCA решения; Внедрять DAST решения; Внедрять средство оркестрации уязвимостей; Писать и совершенствовать правила SAST/DAST и иных инструментов, направленных на анализ безопасности продуктов; Поддерживать и совершенствовать существующие инструменты сканирования; Помогать командам в моделировании угроз; Проводить Security Review перед публикацией сервиса; Проводить анализ уязвимостей. Внедрять процессы Security Quality Gates; Реализовывать процесс Secret Management; Реализовывать процесс Vulnerability Management; Участвовать в проектах по созданию новых сервисов и продуктов в качестве эксперта по информационной безопасности; Проводить анализ защищенности существующих продуктов компании. Что мы ожидаем: Опыт поиска и устранения уязвимостей из OWASP Top 10; Умение выявлять архитектурные ошибки и уязвимости бизнес логике; Опыт работы с OWASP SAMM; Опыт построения процессов SSDLC; Понимаете принципы построения и работы веб-приложений; Опыт работы с Github Actions, Github Workflow ; Опыт работы с инструментами сканирования (одним из каждой категории): SAST: Semgrep, SonarQube. SCA: Dependency Track, Dependency Check. Secret Detection: trufflehog, gitleaks. DAST: OWASP ZAP, Nuclei. Дополнительно приветствуем: Умение читать и анализировать код на PHP; Умение ориентироваться в документах по ФЗ-152 (и возможно GDPR), а также способствовать тому, чтобы код соответствовал изменениям в законодательстве; Опыт получения сертификатов по информационной безопасности и защите персональных данных (например, ISO 27001).Что мы можем предложить: Белую и своевременную заработную плату в зависимости от компетенций; Официальное трудоустройство и все льготы аккредитованной ИТ-компании; Современное рабочее оборудование и офис в самом центре Москвы; Гибридный формат, гибкое начало рабочего дня; Участие в проекте с многомиллионной аудиторией пользователей; Возможность мыслить широко и влиять на результат; Работу в команде профессиональных ребят; ДМС со стоматологией с первых дней; Корпоративные выплаты в случае важных семейных событий; Участие в профильных конференциях и курсах за счет компании.