Forwarded from Security Leadership Jobs
1768460111811.pdf
241.6 KB
Forwarded from Security Leadership Jobs
Application Security TechLead
ЗП: 6.000 - 10.000 €
Подчиненных: 5-6 человек
Мы — кадровое агентство match.one, и один из наших основных клиентов — компания 01.tech, которая создает инновационные и захватывающие продукты с уникальными функциями, меняющие индустрию.
Сейчас компания развивает направление AppSec и мы ищем специалиста, который поможет вывести процесс ревью безопасности архитектуры на новый уровень.
Почему эта роль важна?
В продукте уже более 100 миллионов пользователей по всему миру, имеют развитые процессы обнаружения, исправления и предотвращения уязвимостей. В связи с расширением открыта роль TechLead в команду AppSec Standard Service Team.
Цель команды: предоставить качественный сервис по стандартным задачам Application Security.
Задачи и зона ответственности:
- Стандартизация и выравнивание с бизнес-потребностями процессов Application Security;
- Развитие зрелости процессов: Threat Assessment, Security Architecture Review, Vulnerability management, Security Audit;
- Контроль процессов и ключевых показателей команды;
- Эскалация не стандартных кейсов в product owner и product CTO;
- Оптимизация процессов командной работы;
- Адаптация процессов под распределенную команду: контроль загрузки, автоматизация рутинных задач;
- Внедрение инструментов самообслуживания для продуктовых команд (self-service).
Основные требования:
- От 6 лет работы в CyberSecurity;
- Опыт проведения ревью безопасности архитектуры;
- Понимание архитектуры современных высоконагруженных систем на уровне близком к позиции архитектора;
- Опыт общения с CTO и владельцами бизнеса, обсуждения рисков, поиска компромисов;
- Понимание лучших практик управления командой;
- Развитые навыки коммуникации;
- Опыт разработки на любом языке программирования;
- Навык поиска уязвимостей в веб-приложениях.
Будет плюсом опыт:
- В компаниях с высоким уровнем зрелости процессов vulnerability management и application security;
- Анализа исходного кода для выявления уязвимостей;
- Участия в CTF и Bug Bounty;
- Разработки веб-приложений и автоматизации собственной деятельности;
- Обеспечения безопасности K8s \ Linux \ облачной инфраструктуры (MS, GCP, AWS);
- С DeFi и криптографией используемой в блокчейн проектах.
Контакты: @HR_yuliana
ЗП: 6.000 - 10.000 €
Подчиненных: 5-6 человек
Мы — кадровое агентство match.one, и один из наших основных клиентов — компания 01.tech, которая создает инновационные и захватывающие продукты с уникальными функциями, меняющие индустрию.
Сейчас компания развивает направление AppSec и мы ищем специалиста, который поможет вывести процесс ревью безопасности архитектуры на новый уровень.
Почему эта роль важна?
В продукте уже более 100 миллионов пользователей по всему миру, имеют развитые процессы обнаружения, исправления и предотвращения уязвимостей. В связи с расширением открыта роль TechLead в команду AppSec Standard Service Team.
Цель команды: предоставить качественный сервис по стандартным задачам Application Security.
Задачи и зона ответственности:
- Стандартизация и выравнивание с бизнес-потребностями процессов Application Security;
- Развитие зрелости процессов: Threat Assessment, Security Architecture Review, Vulnerability management, Security Audit;
- Контроль процессов и ключевых показателей команды;
- Эскалация не стандартных кейсов в product owner и product CTO;
- Оптимизация процессов командной работы;
- Адаптация процессов под распределенную команду: контроль загрузки, автоматизация рутинных задач;
- Внедрение инструментов самообслуживания для продуктовых команд (self-service).
Основные требования:
- От 6 лет работы в CyberSecurity;
- Опыт проведения ревью безопасности архитектуры;
- Понимание архитектуры современных высоконагруженных систем на уровне близком к позиции архитектора;
- Опыт общения с CTO и владельцами бизнеса, обсуждения рисков, поиска компромисов;
- Понимание лучших практик управления командой;
- Развитые навыки коммуникации;
- Опыт разработки на любом языке программирования;
- Навык поиска уязвимостей в веб-приложениях.
Будет плюсом опыт:
- В компаниях с высоким уровнем зрелости процессов vulnerability management и application security;
- Анализа исходного кода для выявления уязвимостей;
- Участия в CTF и Bug Bounty;
- Разработки веб-приложений и автоматизации собственной деятельности;
- Обеспечения безопасности K8s \ Linux \ облачной инфраструктуры (MS, GCP, AWS);
- С DeFi и криптографией используемой в блокчейн проектах.
Контакты: @HR_yuliana
AppSec Engineer / DevSecOps
ЗП: до 320 000₽ на руки
Формат работы: удалённо (по РФ)
Занятость: полная
Мы - крупнейший системный интегратор со своим центром инноваций: создаем безопасную среду разработки внутри компании и упаковываем эту экспертизу в продукты для крупных заказчиков.
Чем предстоит заниматься:
▫️ Внедрять практики Security by Design в продуктовые команды и выстраивать SSDLC.
▫️ Развивать и кастомизировать инструменты безопасности (SAST, DAST, SCA, Secrets detection), связывая их в единую платформу на базе DefectDojo.
▫️ Писать ботов и скрипты для GitLab CI для автоматизации проверок.
▫️ Проводить Security Code Review и разбирать результаты сканирования (отсеивать False Positives).
Наш идеальный специалист:
▫️ Глубоко понимает OWASP Top 10 и принципы безопасной разработки.
▫️ Имеет опыт работы с инструментами: Semgrep, Gitleaks, Dependency Track, OWASP ZAP/Burp Suite.
▫️ Умеет автоматизировать рутину через API и писать скрипты (Python/Go/Bash).
▫️ Понимает технологии контейнеризации и CI/CD пайплайны.
Будет большим плюсом (не обязательно):
▫️ Навыки поиска архитектурных ошибок.
▫️ Экспертиза в Mobile Security.
▫️ Понимание стандартов (PCI DSS, ГОСТ Р 57580) с фокусом на техническую реализацию.
Контакты: @code_ka
ЗП: до 320 000₽ на руки
Формат работы: удалённо (по РФ)
Занятость: полная
Мы - крупнейший системный интегратор со своим центром инноваций: создаем безопасную среду разработки внутри компании и упаковываем эту экспертизу в продукты для крупных заказчиков.
Чем предстоит заниматься:
▫️ Внедрять практики Security by Design в продуктовые команды и выстраивать SSDLC.
▫️ Развивать и кастомизировать инструменты безопасности (SAST, DAST, SCA, Secrets detection), связывая их в единую платформу на базе DefectDojo.
▫️ Писать ботов и скрипты для GitLab CI для автоматизации проверок.
▫️ Проводить Security Code Review и разбирать результаты сканирования (отсеивать False Positives).
Наш идеальный специалист:
▫️ Глубоко понимает OWASP Top 10 и принципы безопасной разработки.
▫️ Имеет опыт работы с инструментами: Semgrep, Gitleaks, Dependency Track, OWASP ZAP/Burp Suite.
▫️ Умеет автоматизировать рутину через API и писать скрипты (Python/Go/Bash).
▫️ Понимает технологии контейнеризации и CI/CD пайплайны.
Будет большим плюсом (не обязательно):
▫️ Навыки поиска архитектурных ошибок.
▫️ Экспертиза в Mobile Security.
▫️ Понимание стандартов (PCI DSS, ГОСТ Р 57580) с фокусом на техническую реализацию.
Контакты: @code_ka
Application Security Business Partner, EMCD (emcd.io)
ЗП: в рамках 6к$
Локация: удалённо
Формат: full-time
EMCD - международная крипто-финтех компания и один из крупнейших майнинг-пулов в мире, развивающая продукты в области трейдинга, обмена и Web3. Ищем security-специалиста, который будет работать внутри продуктовых команд и влиять на безопасность решений в юните.
Почему это может быть интересно:
— сложная и живая доменная область: crypto / exchange / fintech
— опыт, который реально котируется на международном рынке
— роль партнёра бизнеса: влияние на решения и процессы, а не просто чек-листы
Что предстоит делать:
— Работать с несколькими командами разработки по вопросам безопасности приложений
— Анализировать бизнес-требования и их влияние на security
— Проводить security review архитектуры, кода и релизов
— Взаимодействовать с DevSecOps по внедрению security-сканеров в CI/CD
Что важно:
— Опыт в application security от 3-х лет.
— Понимание OWASP Top 10 / OWASP Mobile Top 10 / CWE Top 25
— Знание стандартов app security (OWASP ASVS, WSTG и т.д.) и умение применять их на практике
— Понимание инфраструктуры, контейнеризации и связанных security-рисков
— Опыт работы с микросервисной архитектурой и её защитой
— Опыт разработки на Go / Python / JS - большой плюс
Контакты: @AlesyaPS
ЗП: в рамках 6к$
Локация: удалённо
Формат: full-time
EMCD - международная крипто-финтех компания и один из крупнейших майнинг-пулов в мире, развивающая продукты в области трейдинга, обмена и Web3. Ищем security-специалиста, который будет работать внутри продуктовых команд и влиять на безопасность решений в юните.
Почему это может быть интересно:
— сложная и живая доменная область: crypto / exchange / fintech
— опыт, который реально котируется на международном рынке
— роль партнёра бизнеса: влияние на решения и процессы, а не просто чек-листы
Что предстоит делать:
— Работать с несколькими командами разработки по вопросам безопасности приложений
— Анализировать бизнес-требования и их влияние на security
— Проводить security review архитектуры, кода и релизов
— Взаимодействовать с DevSecOps по внедрению security-сканеров в CI/CD
Что важно:
— Опыт в application security от 3-х лет.
— Понимание OWASP Top 10 / OWASP Mobile Top 10 / CWE Top 25
— Знание стандартов app security (OWASP ASVS, WSTG и т.д.) и умение применять их на практике
— Понимание инфраструктуры, контейнеризации и связанных security-рисков
— Опыт работы с микросервисной архитектурой и её защитой
— Опыт разработки на Go / Python / JS - большой плюс
Контакты: @AlesyaPS
AppSec Engineer
Компания: Леста Игры
Занятость: полная
Леста Игры разрабатывает игровые проекты в различных жанрах, смело экспериментирует с инструментами и технологиями.
Мы делаем игры, которые стали настоящим культурным феноменом: «Мир танков», «Мир кораблей», Tanks Blitz, Royal Quest, а также работаем над новыми перспективными проектами.
Сейчас мы расширяем команду ИБ и активно ищем Application Security Engineer.🤗
Задачи:
- Поддержка и развитие процессов безопасной разработки.
- Проведение аудитов безопасности и ревью продуктовых сервисов и приложений.
- Разработка продуктовых требований по безопасности.
- Автоматизация рутинных задач и разработка инструментов.
- Разбор отчётов в программах Bug Bounty.
- Помощь разработчикам в выборе безопасных решений и написании безопасного кода.
Мы ожидаем:
- Опыт работы в области Application Security и/или DevSecOps от двух лет.
- Понимание причин возникновения и способов устранения/митигации распространённых уязвимостей (OWASP Top 10, OWASP Mobile Top 10, CWE Top 25).
- Понимание современного цикла разработки, процессов, практик и инструментов для обеспечения безопасности приложений.
- Опыт анализа защищённости веб- и мобильных приложений.
- Навыки работы и выстраивания процессов с распространёнными классами инструментов DevSecOps (SAST, SCA, DAST и т. п.).
- Владение одним из языков программирования: JS, Go, PHP, .Net, C#, C++, Python.
Что мы предлагаем:
- Работу в аккредитованной IT-компании.
- Расширенный полис ДМС.
- Доплаты по больничным листам и days off.
- Тренажёрный зал и душевые в офисе.
- Компенсацию спорта.
- Компенсацию питания.
- Подарки и выплаты сотрудникам на значимые даты (первый день в компании, день рождения, свадьба, рождение детей).
- Комнаты отдыха с настолками, приставками, игровыми автоматами/столами.
- Релакс-зоны с массажными креслами Yamaguchi и топовыми кофемашинами.
- От 500 до 1000 ед. игрового золота на ваш аккаунт в игре ежедневно.
- Гибкое начало дня: приходим в офис с 8 до 11, уходим с 17 до 20.
Контакты: @nika_yes99
Компания: Леста Игры
Занятость: полная
Леста Игры разрабатывает игровые проекты в различных жанрах, смело экспериментирует с инструментами и технологиями.
Мы делаем игры, которые стали настоящим культурным феноменом: «Мир танков», «Мир кораблей», Tanks Blitz, Royal Quest, а также работаем над новыми перспективными проектами.
Сейчас мы расширяем команду ИБ и активно ищем Application Security Engineer.🤗
Задачи:
- Поддержка и развитие процессов безопасной разработки.
- Проведение аудитов безопасности и ревью продуктовых сервисов и приложений.
- Разработка продуктовых требований по безопасности.
- Автоматизация рутинных задач и разработка инструментов.
- Разбор отчётов в программах Bug Bounty.
- Помощь разработчикам в выборе безопасных решений и написании безопасного кода.
Мы ожидаем:
- Опыт работы в области Application Security и/или DevSecOps от двух лет.
- Понимание причин возникновения и способов устранения/митигации распространённых уязвимостей (OWASP Top 10, OWASP Mobile Top 10, CWE Top 25).
- Понимание современного цикла разработки, процессов, практик и инструментов для обеспечения безопасности приложений.
- Опыт анализа защищённости веб- и мобильных приложений.
- Навыки работы и выстраивания процессов с распространёнными классами инструментов DevSecOps (SAST, SCA, DAST и т. п.).
- Владение одним из языков программирования: JS, Go, PHP, .Net, C#, C++, Python.
Что мы предлагаем:
- Работу в аккредитованной IT-компании.
- Расширенный полис ДМС.
- Доплаты по больничным листам и days off.
- Тренажёрный зал и душевые в офисе.
- Компенсацию спорта.
- Компенсацию питания.
- Подарки и выплаты сотрудникам на значимые даты (первый день в компании, день рождения, свадьба, рождение детей).
- Комнаты отдыха с настолками, приставками, игровыми автоматами/столами.
- Релакс-зоны с массажными креслами Yamaguchi и топовыми кофемашинами.
- От 500 до 1000 ед. игрового золота на ваш аккаунт в игре ежедневно.
- Гибкое начало дня: приходим в офис с 8 до 11, уходим с 17 до 20.
Контакты: @nika_yes99
Senior Security Engineer / DevSecOps, Юникорн
ЗП: 150 000 - 250 000 руб на руки (обсуждаемо)
Локация: Пермь
Формат работы: на месте работодателя или гибрид
Зоны ответственности:
Управление безопасностью и рисками:
1. Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики).
2. Управление ИБ-рисками: выявление, приоритизация, контроль mitigations.
3. Участие в принятии архитектурных решений с точки зрения безопасности.
4. Ведение и развитие Secure SDLC (S-SDLC).
DevSecOps и автоматизация:
1. Встраивание проверок безопасности в CI/CD (quality gates, security checks).
2. Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики).
3. Контроль безопасности секретов, доступов, артефактов.
4. Взаимодействие с DevOps и разработкой как партнёр, а не контролёр.
Compliance и регуляторика:
1. Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR.
2. Подготовка и сопровождение аудитов, проверок, опросников заказчиков.
3. Формирование разумных и реализуемых требований, а не формального «бумажного» compliance.
Инциденты и взаимодействие:
1. Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов.
2. Коммуникация с заказчиками и партнёрами по вопросам ИБ.
3. Обучение команд базовым принципам безопасной разработки и эксплуатации.
Документация:
1. Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы.
2. Поддержка документации в актуальном («живом») состоянии.
Ожидаемый опыт и компетенции:
Обязательное:
- Опыт в ИБ 6+ лет, в том числе:
DevSecOps / Security Engineer / AppSec — от 2 лет.
- Уверенное понимание:
безопасности приложений и инфраструктуры;
сетевых взаимодействий;
аутентификации, авторизации, IAM.
- Практический опыт:
threat modeling;
анализа и триажа уязвимостей;
внедрения ИБ-контролей в CI/CD.
- Умение автоматизировать (Bash / Python / пайплайны).
- Способность вести диалог с заказчиком и защищать техническую позицию компании.
Технологически (без фанатизма):
Опыт работы хотя бы с частью стека:
- Linux, SQL (на уровне эксплуатации и анализа).
- CI/CD: GitLab CI, Jenkins или аналоги.
- SAST / DAST / SCA, secret scanning.
- IAM / SSO (OAuth 2.0, OIDC, SAML).
- Secrets Management (Vault или аналоги).
Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять.
Будет плюсом:
- DevOps-инструменты: Ansible, Terraform.
- Docker, Kubernetes (на уровне эксплуатации и рисков).
- Опыт работы с Zero Trust-подходами.
- Опыт прохождения внешних аудитов и крупных заказчиков.
- Профильные сертификаты (CISSP, CISM, OSCP и др.).
Контакты: @HR_UJIN
https://perm.hh.ru/vacancy/130049109?hhtmFrom=employer_vacancies
ЗП: 150 000 - 250 000 руб на руки (обсуждаемо)
Локация: Пермь
Формат работы: на месте работодателя или гибрид
Зоны ответственности:
Управление безопасностью и рисками:
1. Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики).
2. Управление ИБ-рисками: выявление, приоритизация, контроль mitigations.
3. Участие в принятии архитектурных решений с точки зрения безопасности.
4. Ведение и развитие Secure SDLC (S-SDLC).
DevSecOps и автоматизация:
1. Встраивание проверок безопасности в CI/CD (quality gates, security checks).
2. Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики).
3. Контроль безопасности секретов, доступов, артефактов.
4. Взаимодействие с DevOps и разработкой как партнёр, а не контролёр.
Compliance и регуляторика:
1. Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR.
2. Подготовка и сопровождение аудитов, проверок, опросников заказчиков.
3. Формирование разумных и реализуемых требований, а не формального «бумажного» compliance.
Инциденты и взаимодействие:
1. Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов.
2. Коммуникация с заказчиками и партнёрами по вопросам ИБ.
3. Обучение команд базовым принципам безопасной разработки и эксплуатации.
Документация:
1. Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы.
2. Поддержка документации в актуальном («живом») состоянии.
Ожидаемый опыт и компетенции:
Обязательное:
- Опыт в ИБ 6+ лет, в том числе:
DevSecOps / Security Engineer / AppSec — от 2 лет.
- Уверенное понимание:
безопасности приложений и инфраструктуры;
сетевых взаимодействий;
аутентификации, авторизации, IAM.
- Практический опыт:
threat modeling;
анализа и триажа уязвимостей;
внедрения ИБ-контролей в CI/CD.
- Умение автоматизировать (Bash / Python / пайплайны).
- Способность вести диалог с заказчиком и защищать техническую позицию компании.
Технологически (без фанатизма):
Опыт работы хотя бы с частью стека:
- Linux, SQL (на уровне эксплуатации и анализа).
- CI/CD: GitLab CI, Jenkins или аналоги.
- SAST / DAST / SCA, secret scanning.
- IAM / SSO (OAuth 2.0, OIDC, SAML).
- Secrets Management (Vault или аналоги).
Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять.
Будет плюсом:
- DevOps-инструменты: Ansible, Terraform.
- Docker, Kubernetes (на уровне эксплуатации и рисков).
- Опыт работы с Zero Trust-подходами.
- Опыт прохождения внешних аудитов и крупных заказчиков.
- Профильные сертификаты (CISSP, CISM, OSCP и др.).
Контакты: @HR_UJIN
https://perm.hh.ru/vacancy/130049109?hhtmFrom=employer_vacancies
Forwarded from Security Leadership Jobs
Руководитель направления безопасности контейнерных сред, Cloud.ru
ЗП: от 400 до 650 000 гросс
Обязанности:
Организация анализа защищенности средств контейнеризации.
Взаимодействовать с командами разработки Managed Kubernetes, PaaS.
Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes.
Участие в разработке и реализации безопасных архитектурных решений в контексте k8s.
Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред.
Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании.
Требования:
Опыт внедрения и эксплуатации систем защиты класса Container Platform Security.
Экспертные знания Linux и его аспектов безопасности.
Владение инструментами IaC.
Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies).
Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет.
Опыт управления аналогичной командой от 1 года
Контакты: @oh_my_nerdy
https://cloud.ru/career/vacancies/3948466
ЗП: от 400 до 650 000 гросс
Обязанности:
Организация анализа защищенности средств контейнеризации.
Взаимодействовать с командами разработки Managed Kubernetes, PaaS.
Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes.
Участие в разработке и реализации безопасных архитектурных решений в контексте k8s.
Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред.
Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании.
Требования:
Опыт внедрения и эксплуатации систем защиты класса Container Platform Security.
Экспертные знания Linux и его аспектов безопасности.
Владение инструментами IaC.
Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies).
Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет.
Опыт управления аналогичной командой от 1 года
Контакты: @oh_my_nerdy
https://cloud.ru/career/vacancies/3948466
Forwarded from Security Leadership Jobs
Руководитель направления безопасности облака, Cloud.ru
ЗП: от 400 до 550 000 гросс
Обязанности:
Использование платформенных сервисов безопасности облака;
Формирование и внедрение secure-by-default настроек для используемых облачных сервисов;
Разработка security baselines для всех используемых облачных сервисов;
Формирование и контроль требований кибербезопасности по использованию облачных сервисов;
Участие в миграции информационных систем компании в облако;
Выявление потенциальных векторов атак в облачных сервисах;
Создание автоматизированных проверок безопасности конфигураций в облаке;
Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности;
Постоянно повышать защищенность инфраструктуры, размещенной в облаке;
Выступать заказчиком новых функций кибербезопасности;
Управление группой инженеров направления (2-3).
Требования:
Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет;
Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.;
Опыт работы с IAM решениями (облачных провайдеров или on-premise);
Опыт работы с Kubernetes и контейнеризацией на уровне пользователя.
Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation);
Опыт с CI/CD pipeline security;
Понимание OWASP Top 10;
Понимание принципов устройства REST/gRPC API;
Управление целями, управление командой.
Технические навыки:
Языки программирования: Python, Go, Bash;
Мониторинг: Prometheus, Grafana, ELK Stack.
Желательные навыки:
Сертификации: AWS Security Specialty, CISSP, CCSP;
Опыт с compliance frameworks (ISO 27001, PCI DSS);
Знание threat modeling и risk assessment.
Опыт в области DevSecOps.
Контакты: @oh_my_nerdy
https://cloud.ru/career/vacancies/4006010
ЗП: от 400 до 550 000 гросс
Обязанности:
Использование платформенных сервисов безопасности облака;
Формирование и внедрение secure-by-default настроек для используемых облачных сервисов;
Разработка security baselines для всех используемых облачных сервисов;
Формирование и контроль требований кибербезопасности по использованию облачных сервисов;
Участие в миграции информационных систем компании в облако;
Выявление потенциальных векторов атак в облачных сервисах;
Создание автоматизированных проверок безопасности конфигураций в облаке;
Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности;
Постоянно повышать защищенность инфраструктуры, размещенной в облаке;
Выступать заказчиком новых функций кибербезопасности;
Управление группой инженеров направления (2-3).
Требования:
Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет;
Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.;
Опыт работы с IAM решениями (облачных провайдеров или on-premise);
Опыт работы с Kubernetes и контейнеризацией на уровне пользователя.
Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation);
Опыт с CI/CD pipeline security;
Понимание OWASP Top 10;
Понимание принципов устройства REST/gRPC API;
Управление целями, управление командой.
Технические навыки:
Языки программирования: Python, Go, Bash;
Мониторинг: Prometheus, Grafana, ELK Stack.
Желательные навыки:
Сертификации: AWS Security Specialty, CISSP, CCSP;
Опыт с compliance frameworks (ISO 27001, PCI DSS);
Знание threat modeling и risk assessment.
Опыт в области DevSecOps.
Контакты: @oh_my_nerdy
https://cloud.ru/career/vacancies/4006010
DevSecOps инженер, Industry Soft Solutions
ЗП: до 350 000 на руки
Занятость: полная
Формат работы: удаленный
Мы аккредитованная ИТ компания. Стартанули в создании собственного национального ИТ-решения для автоматизации промышленности в области ТОиР
Продукт: Цифровая платформа промышленного искусственного интеллекта АтомМайнд (IoT платформа)
Будем рады познакомиться, если у тебя есть:
- Высшее или неоконченное высшее в сфере ИТ, информационной безопасности или смежных областях;
- Опыт в DevOps /DevSecOps /ИБ от 3 лет;
- Уверенное владение CI/CD; мониторинг: Prometheus, Grafana, ELK;
- Опыт администрирования: Linux (Ubuntu/CentOS/AstraLinux), Docker, Kubernetes, Helm;
- Знание языков автоматизации: Python/Bash/PowerShell;
- СУБД: PostgreSQL (отказоустойчивые кластеры), Redis. ClickHouse (ArenaData QuickMarts);
- Опыт работы с брокерами сообщений: Kafka/RabbitMQ;
- Владение инструментами безопасности: SAST, DAST, SCA, Fuzzing (желательно).
Основные задачи:
- DevOps-практики: Администрирование Linux-серверов (Ubuntu, AstraLinux), управление кластерами Docker/Kubernetes/Helm, поддержка мониторинга (Prometheus/Grafana/ELK) и СУБД (PostgreSQL, Redis, ClickHouse).
- Развертывание у заказчика: Проектирование и настройка инфраструктуры, включая брокеры сообщений (Kafka, RabbitMQ).
- Безопасность инфраструктуры: Работа с уязвимостями в контейнерных средах, контроль обновлений и патчинг систем. Оценка рисков безопасности сетевых систем и продуктов.
- Сертификация и стандарты: Обеспечение соответствия процессов разработки требованиям ФСТЭК, OWASP, NIST, ГОСТ Р 56939-2016. Подготовка разделов документации для сертификации ПО.
- DevSecOps: Внедрение и поддержка инструментов анализа защищенности (SAST, DAST, SCA) в контур CI/CD (GitLab). Проведение анализа кода и уязвимостей, выдача рекомендаций разработчикам.
Контакты: https://t.me/Yumiliq
ЗП: до 350 000 на руки
Занятость: полная
Формат работы: удаленный
Мы аккредитованная ИТ компания. Стартанули в создании собственного национального ИТ-решения для автоматизации промышленности в области ТОиР
Продукт: Цифровая платформа промышленного искусственного интеллекта АтомМайнд (IoT платформа)
Будем рады познакомиться, если у тебя есть:
- Высшее или неоконченное высшее в сфере ИТ, информационной безопасности или смежных областях;
- Опыт в DevOps /DevSecOps /ИБ от 3 лет;
- Уверенное владение CI/CD; мониторинг: Prometheus, Grafana, ELK;
- Опыт администрирования: Linux (Ubuntu/CentOS/AstraLinux), Docker, Kubernetes, Helm;
- Знание языков автоматизации: Python/Bash/PowerShell;
- СУБД: PostgreSQL (отказоустойчивые кластеры), Redis. ClickHouse (ArenaData QuickMarts);
- Опыт работы с брокерами сообщений: Kafka/RabbitMQ;
- Владение инструментами безопасности: SAST, DAST, SCA, Fuzzing (желательно).
Основные задачи:
- DevOps-практики: Администрирование Linux-серверов (Ubuntu, AstraLinux), управление кластерами Docker/Kubernetes/Helm, поддержка мониторинга (Prometheus/Grafana/ELK) и СУБД (PostgreSQL, Redis, ClickHouse).
- Развертывание у заказчика: Проектирование и настройка инфраструктуры, включая брокеры сообщений (Kafka, RabbitMQ).
- Безопасность инфраструктуры: Работа с уязвимостями в контейнерных средах, контроль обновлений и патчинг систем. Оценка рисков безопасности сетевых систем и продуктов.
- Сертификация и стандарты: Обеспечение соответствия процессов разработки требованиям ФСТЭК, OWASP, NIST, ГОСТ Р 56939-2016. Подготовка разделов документации для сертификации ПО.
- DevSecOps: Внедрение и поддержка инструментов анализа защищенности (SAST, DAST, SCA) в контур CI/CD (GitLab). Проведение анализа кода и уязвимостей, выдача рекомендаций разработчикам.
Контакты: https://t.me/Yumiliq
AppSec / DevSecOps, Ланит
ЗП: до 300 000 на руки
Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ». Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений.
Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду! Мы не занимаемся «формальным комплаенсом ради галочки», а создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые действительно помогают бизнесу и делают продукты более конкурентоспособными.
Как мы работаем
Автоматизируем всё, что можно: от конвейеров и Golden Repository до ботов, которые предлагают фиксы прямо в GitLab.
Собираем метрики и оцениваем эффективность процессов, а также их влияние на проекты с учётом найденных уязвимостей.
Оцениваем риски, связанные с бизнес-логикой приложений, и демонстрируем бизнесу ценность работы в области информационной безопасности.
Обучаем сотрудников инструментам и навыкам, которые помогают расти как в глубину, так и в ширину, развивая смежные компетенции.
У каждого инженера есть индивидуальный план развития.
Управляем своим backlog и выстраиваем эффективное взаимодействие как внутри команды, так и с заказчиками.
Что предстоит делать
- Внедрять практики security by design в продуктовые команды.
- Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker).
- Реализовывать security и quality gates, secret management и vulnerability management.
- Писать и кастомизировать тесты для CI.
- Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative.
- Интегрировать технические решения для использования сценариев Golden Repository.
- Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo.
- Подготавливать и анализировать метрики для контроля поставок кода на базе VMP.
- Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры.
- Проводить security code review сервисов перед релизом.
- Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов.
Что мы ждём от вас
- Умение находить и устранять уязвимости из OWASP Top 10 (не только веб).
- Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck.
- Понимание принципов построения SSDLC.
- Навыки работы с PoC для доказательной базы.
- Опыт автоматизации процессов через API (например, с использованием Swagger).
- Опыт внедрения процедур безопасной разработки.
- Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др.
- Умение работать с конфигурациями на YAML и писать сценарии.
- Знание архитектурных паттернов.
- Понимание сетей и интеграции инструментов безопасности в SDLC.
Будет плюсом
- Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике.
- Понимание принципов STLC.
- Знание работы веб-серверов (Nginx, Apache).
- Знание протоколов MQTT, CoAP.
- Опыт работы с песочницами.
- Навыки разработки, анализа чужого кода и проведения security code review.
- Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580.
Контакты: @shisha_tania
ЗП: до 300 000 на руки
Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ». Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений.
Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду! Мы не занимаемся «формальным комплаенсом ради галочки», а создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые действительно помогают бизнесу и делают продукты более конкурентоспособными.
Как мы работаем
Автоматизируем всё, что можно: от конвейеров и Golden Repository до ботов, которые предлагают фиксы прямо в GitLab.
Собираем метрики и оцениваем эффективность процессов, а также их влияние на проекты с учётом найденных уязвимостей.
Оцениваем риски, связанные с бизнес-логикой приложений, и демонстрируем бизнесу ценность работы в области информационной безопасности.
Обучаем сотрудников инструментам и навыкам, которые помогают расти как в глубину, так и в ширину, развивая смежные компетенции.
У каждого инженера есть индивидуальный план развития.
Управляем своим backlog и выстраиваем эффективное взаимодействие как внутри команды, так и с заказчиками.
Что предстоит делать
- Внедрять практики security by design в продуктовые команды.
- Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker).
- Реализовывать security и quality gates, secret management и vulnerability management.
- Писать и кастомизировать тесты для CI.
- Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative.
- Интегрировать технические решения для использования сценариев Golden Repository.
- Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo.
- Подготавливать и анализировать метрики для контроля поставок кода на базе VMP.
- Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры.
- Проводить security code review сервисов перед релизом.
- Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов.
Что мы ждём от вас
- Умение находить и устранять уязвимости из OWASP Top 10 (не только веб).
- Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck.
- Понимание принципов построения SSDLC.
- Навыки работы с PoC для доказательной базы.
- Опыт автоматизации процессов через API (например, с использованием Swagger).
- Опыт внедрения процедур безопасной разработки.
- Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др.
- Умение работать с конфигурациями на YAML и писать сценарии.
- Знание архитектурных паттернов.
- Понимание сетей и интеграции инструментов безопасности в SDLC.
Будет плюсом
- Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике.
- Понимание принципов STLC.
- Знание работы веб-серверов (Nginx, Apache).
- Знание протоколов MQTT, CoAP.
- Опыт работы с песочницами.
- Навыки разработки, анализа чужого кода и проведения security code review.
- Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580.
Контакты: @shisha_tania