Аналитик ИБ (Application security / AppSec)

Мы – СОВКОМБАНК ТЕХНОЛОГИИ

IT-компания финансовой Группы «Совкомбанк», топ-5 лучших работодателей по версии Хабр Карьера. У нас работает более 5000 специалистов по всей России. Мы развиваем экосистему карты рассрочки Халва, приложение Совкомбанк Инвестиции и собственные корпоративные продукты, проводим масштабные интеграции сервисов и компаний.

В связи с усилением команды кибербезопасности открыта вакансия Аналитика ИБ (Application Security), который совместно с DevSecOps будет развивать процессы SSDLC в продуктовых командах ГК Совкомбанк.

Присоединяйся к команде кибербезопасности – давай вместе прокачивать финтех!

ЗАДАЧИ, КОТОРЫЕ ПРЕДСТОИТ РЕШАТЬ

• Анализ исходного кода приложений на наличие уязвимостей;
• Проведение триажа уязвимостей, найденных инструментами SAST, DAST, SCA\OSA;
• Написание proof-of-concept для критичных уязвимостей;
• Разработка и внедрение процессов SSDLC, совместно с DevSecOps;
• Разработка технических стандартов безопасной разработки;
• Консультирование и повышение осведомленности команд разработки по вопросам безопасности кода и типовых уязвимостей;
• Соблюдение KPI по обработке результатов, полученных инструментами SSDLC.

НАШИ ОЖИДАНИЯ ОТ КАНДИДАТА

• Практический опыт использования инструментов: SAST, DAST/Fuzzing, OSA/SCA, IAST;
• Опыт проведения SAST мобильных приложений;
• Анализ результатов, верификация найденных уязвимостей, их сортировка и приоритизация;
• Оценка угроз для веба, мобильных приложений и методы их устранения (OWASP Top 10, OWASP Mobile Top 10, OWASP API Top 10, OWASP MASVS, MASTG или аналоги);
• Разработка модели угроз (STRIDE, PASTA или аналоги);
• Реализация современных протоколов авторизации (SAML 2.0, OpenID Connect).

ПЛЮСОМ БУДЕТ

• Анализ мобильных приложений инструментами MobSF, Frida;
• Опыт разработки мобильных приложений (Android, iOS), проведение ручного анализа кода;
• Опыт работы с git (Gitlab, Github, Jenkins или аналоги);
• Опыт работы с таск трекерами (Jira, yandextracker или аналоги);
• Опыт работы с уязвимостями в зависимостях. Анализ уязвимостей в прямых и транзитивных зависимостях;
• Участия в разработке по современным методологиям (Agile, Scrum);
• Опыт встраивания контролей безопасности в pipeline в т.ч. в виде security gates;
• Опыт работы со стандартами и лучшими практиками защиты платежной инфраструктуры (PCI DSS, СТО БР ИББС, 821-П и другие).

МЫ ПРЕДЛАГАЕМ

• Официальное оформление с первого дня, наша IT-компания аккредитована;
• Работа в офисе в городах нашего присутствия: Санкт-Петербург, Казань, Саратов, Самара, Новосибирск и другие города, готовы обсуждать индивидуально с каждым кандидатом;
• Развитие профессиональной экспертизы: ты сможешь обучаться и посещать конференции и митапы за счёт Банка;
• Классная команда – мы за радость общения и дружбу в коллективе;
• Комфортный офис – у нас уютные рабочие пространства, комнаты отдыха с настольным теннисом, кикером, плойкой и другими плюшками;

• Погружение в ИИ-культуру – взаимодействуем с искусственным интеллектом на постоянной основе и обучаем этому новичков, предоставляем бесплатных ИИ-помощников;

• Коворкинги в Сочи и на Алтае – туда можно отправиться поработать и отдохнуть в режиме 4/3 за счёт Банка;
• Более 50 социальных программ – ДМС со стоматологией и страхованием от несчастных случаев и болезней, изучение английского, софинансирование летнего, зимнего и тематического отпуска, уникальные условия по продуктам и услугам Банка;
• Забота о детях: мы проводим праздники и экскурсии для детей наших сотрудников, софинансируем частный детский сад, отдых в лагере и подготовку к экзаменам;
• Много спорта: у нас есть клубы и секции, можно заниматься любым спортом за счёт Банка и участвовать в корпоративных турнирах и чемпионатах. Также мы софинансируем коллегам абонементы в фитнес-клубы;
• Вовлеченность, комфорт и свобода. У нас минимум бюрократии, нет дресс-кода, гибкое начало и завершение рабочего дня;
• Самая яркая корпоративная культура – летние IT-фесты, путешествия по России и за её пределами!