Специалист по информационной безопасности/Инженер AppSec

О компании и команде

ИТ-Холдинг Т1 — один из лидеров российского ИТ-рынка, партнёр ключевых производителей и разработчиков в сфере ИТ. По версии аналитических агентств CNews Analytics, TAdviser и RAEX, мы входим в топ-3 крупнейших российских ИТ-компаний. В нашем портфеле уже 70+ востребованных на рынке ИТ‑продуктов и услуг, ключевые – внесены в ЕРРП (реестр российского ПО).

В Т1 стабильность и финансовая надежность, а также социальные гарантии гармонично сочетаются с преимуществами ИТ‑компании — открытостью, инновациями и гибридным форматом работы.
Мы стремительно растём, масштабируемся и ищем новых специалистов в команду!

В рамках финтех‑направления мы разрабатываем инновационные решения для цифровизации финансового сектора: современные финтех‑продукты, системы работы с большими данными и комплексные решения для фронт‑ и бэк‑офисов. В продуктовом портфеле — создание современных высоконагруженных фронтальных систем, омниканальных продуктов и высоконадежных платформ для поддержки банковского бизнеса.

Мы работаем с крупнейшими организациями банковского сектора, ведущими финансовыми компаниями и активно выстраиваем партнерскую работу на Ближнем Востоке, в Африке и Юго‑Восточной Азии. Охват пользователей продуктов составляет более 15 миллионов человек.

Вместе с нами тебе предстоит:

Участие в процессе безопасной разработки:

• формирование требований ИБ к продуктам;
• формирование требований по обеспечению защищенности разрабатываемого приложения;
• оценка рисков безопасности приложения;
• инициирование инструментальных проверок разрабатываемого продукта;
• ручной и автоматизированный поиск недостатков разрабатываемого ПО, участие в их разборе совместно с командами разработки;
• триаж найденных недостатков с использованием автоматизированных инструментов безопасной разработки;
• углубленный анализ уязвимостей в разрабатываемого ПО;
• контроль поставки на исправление подтвержденных уязвимостей;
• формирование предложения по компенсирующим мерам и их оценке;
• внедрение AppSec-практик в команды разработки.

Какие знания и навыки для нас важны:

• Знания практик AppSec, различных подходов к их применению, особенностей работы инструментов по анализу защищенности.
• Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (SAST/DAST/SCA/CA):
  • умение работать с Solar AppScreener, SonarQube, Semgrep, CodeScoring, OWASP Dependency-Track, Trivy и т.п.);
  • анализ OpenSource-компонентов и сторонних компонентов (OSA/SCA);
  • опыт работы со SBOM файлами и файлами манифестов (типа package.json, poetry.lock, Dockerfile и т.п.);
  • опыт работы с инструментами контейнеризации.
• Понимание (опыт чтения кода) языков из списка распространенных фреймворков: Java, JS, Python, C/C++, C#, Kotlin, Obj-C и т.п..
• Знание одного из скриптовых языков программирования (Bash / Powershell / Python).
• Опыт аналитической оценки применимости общеизвестных уязвимостей CVE к приложениям с учетом архитектурных особенностей.
• Углубленное понимание угроз/уязвимостей безопасности по версии OWASP Top 10 и методов защиты от них.
• Знания сетевых технологий и протоколов (API, OAuth, OIDC, HTTP/HTTPS, DNS, SSH, WebSocket, FTP, SMTP и т.п.).
• Знания технологий виртуализации и контейнеризации.
• Глубокий уровень понимания ОС *nix.
• Знание английского на уровне чтения технической литературы.
• Коммуникабельность.