Команда продуктовой безопасности отвечает за выявление и предотвращение уязвимостей на всех этапах жизненного цикла разработки. Сопровождаем безопасную разработку, проводим аудит кода, развиваем практики безопасности и управляем баг-баунти программой.
Ключевые задачи:
- Проведение аудитов безопасности приложений и сервисов;
- Выстраивание процесса безопасной разработки(Security SDLC);
- Консультации и взаимодействие с продуктовыми командами для разбора и устранения найденных уязвимостей;
- Автоматизация процессов безопасности;
- Развитие Bug-Bounty программы.
От тебя мы ждем:
- Опыт участия в формировании процессов безопасной разработки;
- Опыт работы с системами статического и динамического анализа (SAST, DAST);
- Опыт в организации работ по настройке и внедрению средств защиты информации в инфраструктуре непрерывной разработки в соответствии с концепциями SDLC и DevSecOps;
- Умение выявлять архитектурные недочеты и риски в планируемой и реализованной инфраструктуре;
- Умение формировать и контролировать требования ИБ к продуктам и информационным системам;
- Опыт работы со средствами DevOps процесса (GitLab, Nexus, Kubernetes, Jira или аналогичными);
- Практический опыт анализа приложений;
- Умение анализировать исходный код на предмет наличия уязвимостей;
- Практическое понимание всех распространенных техник эксплуатации, в том числе OWASP Top 10, OWASP Mobile Top 10, CWE Top 25;
- Понимание принципов работы современных веб-приложений, микросервисной архитектуры;
- Участие в bug-bounty будет большим плюсом.