DevSecOps-инженер, ООО «ВЕБЛОК»

ЗП: 250 000 - 300 000 на руки

Уровень: middle
Локация: РФ, Москва
Формат работы: офис/гибрид/удаленка
Оформление: штат
Занятость: полная

Обязанности:
- Разработка архитектуры решений и методов реализации
- Проектирование ИБ-решений по направлению DevSecOps
- Разработка политик, правил технических требований к интеграции с репозиториями исходного кода и системами разработки
- Подготовка отчетов об уязвимостях и рекомендаций по их устранению
- Участие в разработке проектной, эксплуатационной документации, подготовке инструкций и формирования базы знаний
- Построение пайплайна CI/CD
- Настройка cloud-based СЗИ
- Мониторинг

Требования:
- Опыт внедрения, администрирования и сопровождения решений DevSecOps, Application Security, понимание принципов CI/CD
- Понимание принципов и архитектуры безопасности веб-приложений
- Знание технологий и механизмов комплексной защиты уровней L3-L7), IDS/IPS, WAF, инструментов мониторинга и анализа безопасности, а также опыт работы с облачнымим провайдерами
- Опыт работы с решениями класса SAST, DAST, опыт анализа и интерпретации отчетов об обнаруженных уязвимостями.
- Умение работать с Git
- Умение организовать версионный контроль
- Умение тестировать высоко производительные WEB приложения
- Опыт работы с системами сборки
- Опыт тестирования API
- Системность, аккуратность

Будет преимуществом:
- Понимание принципов обеспечения безопасности инструментов контейнеризации, оркестрации (Docker, K8s)

Контакты: @katyalizunova

**Application Security Expert (Defensive), T-Bank

ЗП**: от 200к до 400к на руки (обсуждается на собеседовании)

Уровень: middle, middle+, senior
Локация: РФ
Формат работы: удалёнка/гибрид
Занятость: фулл-тайм

Обязанности:- Разрабатывать, внедрять и поддерживать процессы безопасности в продуктовых командах;
- Анализировать архитектуру приложений, продуктов, систем, технологий, бизнес-процессов с точки зрения безопасности;
- Проводить аудиты безопасности приложений, ревью кода, сопровождать внешние аудиты безопасности;
- Взаимодействовать с продуктовыми командами для разбора и устранения найденных уязвимостей;
- Автоматизировать задачи в процессах безопасности;
- Повышать уровень осведомленности разработчиков в вопросах безопасной разработки, консультировать по вопросам информационной безопасности;
- Разрабатывать правила для инструментов автоматизированного сканирования;
- Формировать подходы, принципы и практики построения безопасных приложений.

Требования:
- Умеете разрабатывать и выстраивать процессы безопасности;
- Знаете общие практики безопасности приложений (OWASP SAMM/BSIMM);
- Имеете навык эффективных коммуникаций, переговоров и влияния, презентации;
- Имеете практический опыт анализа защищенности приложений (методы black-box и white-box);
- Умеете читать и анализировать исходный код на различных языках на предмет наличия уязвимостей;
- Понимаете принципы работы современных веб-приложений, микросервисной архитектуры;
- Владеете основными инструментами анализа защищенности приложений (BurpSuite/Semgrep/Nuclei);
- Умеете эксплуатировать уязвимости из OWASP TOP 10, OWASP Mobile Top 10, CWE Top 25 и можете объяснить, как их устранять;
- Есть опыт разработки на Python/Go.

Контакты: @k_primerova

Вакансия

Senior DevSecOps (Payment GateWay Security | Information Security | PCI DSS), RedCloudLab Recruitment Agency
Salary: 5500 - 6000 euro netto

Employment contract:office | fulltime | relocation in Cyprus

Will do:
Infrastructure Automation and Management:
- Design, implement, and manage scalable and secure AWS infrastructure using Infrastructure as Code (IaC) tools such as Terraform;
- Automate provisioning, configuration, and maintenance of cloud resources to ensure consistency and repeatability.
Security Integration and Compliance:
- Implement security best practices in AWS environments, including identity and access management (IAM), network security, encryption, and monitoring;
- Conduct regular security assessments, vulnerability scans, and compliance audits to ensure adherence to industry standards and regulatory requirements.
CI/CD Pipeline Development:
- Develop and maintain CI/CD pipelines to automate the build, test, and deployment processes, ensuring rapid and reliable delivery of applications;
- Integrate security checks and automated testing into CI/CD pipelines to identify and remediate issues early in the development lifecycle.
Monitoring and Incident Response:
- Implement comprehensive monitoring and logging solutions using AWS services such as CloudWatch, CloudTrail, and AWS Security Hub;
- Set up alerting mechanisms and conduct root cause analysis to promptly address and resolve security incidents and infrastructure issues.
Collaboration and Training:
- Collaborate with development, operations, and security teams to promote a culture of shared responsibility for security and compliance;
- Provide guidance and training to team members on AWS security best practices, DevSecOps methodologies, and tool usage.
Performance Optimization:
- Optimize the performance, scalability, and cost-efficiency of AWS infrastructure through regular reviews and adjustments;
- Implement and manage auto-scaling, load balancing, and other performance-enhancing techniques.
Documentation and Reporting:
- Maintain up-to-date documentation of AWS infrastructure, security configurations, and operational procedures;
- Generate regular reports on security posture, compliance status, and operational metrics for stakeholders.

We offer:
- Official employment EU contract including working visa;
- Full relocation package

Requirements:
- From 3+ years of proven experience in information security;
- Strong knowledge of security best practices in cloud environments, particularly in AWS and Kubernetes;
Proficiency in DevSecOps tools and practices, including CI/CD pipelines, containerization (Docker), and orchestration (Kubernetes);
- Implementation of security controls and monitoring for AWS environments (AWS WAF, Shield, GuardDuty, Control Tower, Security Hub, CloudTrail Insights, KMS, CloudHSM, Macie, Secrets Manager, Inspector);
- In-depth knowledge of networking concepts and protocols, including VPNs, firewalls, and load balancers;
- Experience with network security groups and IAM in AWS;
- Experience with helm;
- Experience with SAML configuration.

Контакт: @vgrebenyuk

Senior DevSecOps, ATME

ЗП: от 400 000 - 550 000 рублей на руки (готовы обсуждать)

Локация: Удаленка (РФ). возможность релокации в Манаму, Королевство Бахрейн (Tax free zone)

Всем привет!
В международную финтех компанию по токенизации RVA (металлы, недвижимость, акции, бриллианты и тд) ищем DevSecOps-инженера. Вы будете одним из важных экспертов для разработчиков и devops-инженеров, кто сможет обеспечить необходимый уровень безопасности и надежности для наших систем.
Обязанности:
• Взаимодействие с разработчиками, выработка архитектурных решений по ИБ WebApp.
• Настройка средств защиты в облачной инфраструктуре.
• Написание UseCases для SOC, интеграция СЗИ и мониторинг.
• Vulnerability management в рамках всего цикла разработки и эксплуатации приложения.

Требования:
• Хорошее знание криптографических механизмов (симметричная/ассиметричная криптография, режимы работы криптоалгоритмов, уязвимости).
• Понимание работы сетевых протоколов, их уязвимостей, протоколов обеспечения безопасности (TLS, IPSec,ssh).
• Понимание принципов или опыт участия в проекте построения SOC и написания UseCases для SOC в облачной инфраструктуре.
• Понимание принципов обеспечения безопасности и архитектуры безопасности WebApplication.
• Знание технологий и механизмов комплексного обеспечения безопасности облачной инфраструктуры (межсетевые экраны (L3-L7), IDS/IPS, WAF, средства мониторинга, анализа защищенности), опыт работы с любым облачным провайдером (AWS, GCP, Azure).

Вашим преимуществом будет:
• Понимание принципов обеспечения безопасности инструментов контейнеризации, оркестрации (Docker, K8s) и выстраивания процесса DevSecOps.

Почему с нами классно:
• Работа в международной компании с русскоязычными коллегами.
• Удаленка из РФ или релокация.
• Наш офис расположен в столице королевства Бахрейн в зоне TaxFree.
• Помощь в релокации (финансовая и консалтинговая) для вас и вашей семьи.
• Медицинская страховка.

Контакты: @Anna_HRinIT

**Application Security-инженер, Yandex Cloud

ЗП:** 250.000 - 450.000 руб gross (зависит от опыта)
Москва, Санкт-Петербург
Офис/гибрид
Грейд: Middle+, senior

Какие задачи вас ждут:
1) Ревью архитектуры и кода приложений
У нас регулярно появляются новые сервисы и фичи, а вам предстоит проводить их архитектурные дизайн-ревью и аудиты.

2) Консультирование команд по вопросам ИБ
Совместно с разработчиками и менеджерами предстоит консультировать другие команды Яндекса по вопросам безопасности. Например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.

3) Исследовательская работа
Предстоит исследовательская работа: изучение новых технологий безопасности, методов защиты и облачных угроз. Вы будете анализировать тренды, чтобы использовать их для проверок и повышать уровень безопасности.

Мы ждём, что вы: - Разбираетесь в безопасности веб-приложений, знаете принципы их построения и работы
- Умеете искать уязвимости в коде на Java, Go, Node.js
- Понимаете устройство систем контейнеризации и виртуализации
- Интересуетесь современными публичными облаками и их безопасностью

С полным описанием можно ознакомиться по ссылке:
https://yandex.ru/jobs/vacancies/application-security-инженер-в-yandex-cloud-20644

Контакты: @Alina_Iiskhakovaa

Аудитор защищенности приложений (AppSec), Solidlab

ЗП: 200 000 - 300 000 рублей net (зависит от профессионального опыта).

Грейд: Middle/Middle +
Локация: Москва, м. Академическая.
Формат работы: гибрид/удалёнка.
Занятость: полная.

Задачи:
• аудит приложений методом белого и черного ящика, в основном: веб- и мобильные приложения;
• участие в комплексных тестах на проникновение в части воздействий, направленных на веб-приложения и серверное API мобильных приложений;
• подготовка отчётов по результатам проделанных работ;
• участие в расследовании инцидентов, связанных с атаками на приложения: поиск недостатков, которые могли привести к инциденту, анализ факторов компрометации;
• по желанию: участие в исследовательских (R&D) проектах в области безопасности приложений.

Требования:
• системные знания современных веб-технологий — серверных и клиентских;
• системные знания в области Application Securitу;
• подтвержденный опыт системного анализа приложений как белым, так и черным ящиком;
• навыки чтения исходного кода на современных фреймворках, умение разбираться в коде на незнакомых языках программирования или фреймворках;
• умение чётко и грамотно формулировать свои мысли в письменном виде;
• навыки работы с мобильными приложениями на рутованных устройствах: установить, отломать pinning, запустить трафик через прокси;
• английский язык – на уровне понимания профессиональной технической литературы.

Преимуществом будут:
• опыт разработки веб-приложений, знание современных шаблонов проектирования;
• знание технологий зоны ответственности DevOps (CI/CD, технологии контейнеризации и оркестрации контейнеров);
• опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE;
• опыт участия в CTF, наличие самостоятельных исследований;
• наличие профильных сертификатов (BCP, OSWE).

Контакты: @Helena_Martyn0va @margarita_SolidLab

Application Security, ВКонтакте

ЗП: 250-500к gross

Локация: РФ/РБ
Формат работы: удалёнка/гибрид/офис

Задачи:
- обеспечивать защиту разрабатываемых и используемых компанией приложений;
- моделировать угрозы и формировать требования к безопасности веб-приложений;
- консультировать разработчиков и контролировать устранение выявленных уязвимостей;
- выявлять и реагировать на инциденты ИБ;
- тестировать безопасность сайта.

Мы ожидаем, что вы:
- обладаете отличными знаниями и практическим опытом работы в области Application Security;
- занимались анализом защищённости веб-приложений — Black Box, White Box, Grey Box;
- разбираетесь в уязвимостях мобильных и веб-приложений;
- умеете читать код и выявлять ошибки;
- создавали пайплайны CI/CD;
- работали со сканерами уязвимостей.

Будет плюсом, если вы знаете Client-Side и Server-Side уязвимости и вам знакомы все слова из списка: Stored XSS, Reflected XSS, DOM XSS, CSRF, CSTI, Clickjacking, CRLF Injection, Open Redirect, RCE, SQL injection, XXE, JWT Misuse, Request Smuggling, SSTI, Insecure Deserialization, IDOR, Directory traversal, Authorization Bypass, SSRF. Но если не знакомы, мы расскажем и научим.

Контакты: @grs_olya

**DevSecOps, кадровое агентство: iRW

ЗП:** 200 000 - 250 000 руб. netЛокация: Москва (м. Парк культуры)
Уровень: middle+, senior
Формат: офис/гибрид
Занятость: полная, 5/2, гибкое начала рабочего дня

Ключевая задача: внедрить и поддерживать высокие стандарты безопасности в процессах разработки и эксплуатации нашего программного обеспечения

Основные обязанности
•Внедрение практик безопасной разработки согласно регламентам компании;
•Помощь DevOps в интеграции инструментов безопасной разработки;
•Участие в анализе защищенности ПО (тестирование продукта с помощью автоматизированных средств (SAST/DAST/SCA и т.д.));
•Разработка правил для автоматизированных средств идентификации уязвимостей (SAST/DAST и т.д.);
•Составление и анализ отчетов по выявленным уязвимостям;
•Проведение аудита инфраструктуры с использованием автоматизированных средств;
•Обучение разработчиков практикам безопасного кодирования

Обязательные требования
•Знание методологий DevOps и интеграция практик безопасности на всех этапах разработки и эксплуатации ПО
•Глубокие знания и практический опыт с системами непрерывной интеграции и непрерывного развертывания (CI/CD), такими как Jenkins, GitLab CI. Опыт работы с контейнеризацией (Docker, Kubernetes) обязателен
•Знания в области информационной безопасности, включая угрозы, уязвимости, меры защиты и стандарты безопасности, такие как OWASP, ISO 27001. Ожидается понимание цикла безопасной разработки ПО (Secure SDLC)
•Знание языков программирования, предпочтительно Python, Java, Go, и опыт написания скриптов для автоматизации задач
•Практический опыт анализа приложений и понимание принципов эксплуатации уязвимостей
•Опыт проведения моделирования угроз и security code review
•Знакомство со стандартами безопасности в области разработки ПО (OWASP/MITRE/BSIMM)

Контакт: @Oskar17

Щедрые вознаграждения для лучших пентестеров страны!

Каждый год, участвуя в премии, каждый из нас делает вклад в развитие ИБ-рынка. Обсуждая интересные новые практики, мы увеличиваем количество компетентных специалистов по всей стране и развиваемся сами в компании единомышленников.

?Такой вклад должен поощряться. За победу в каждой номинации участники получают MacBook, за второе место — iPhone, за третье — Apple Watch.

?Еще благодаря партнерам премии, финалисты получат:

- Умные колонки и подарки от партнеров проекта VK Bug Bounty
- Билеты на конференцию OFFZONE
- Традиционные гранты на обучения любым курсам CyberED
И, конечно, эксклюзивные именные статуэтки #pentestaward

Напоминаем, чтобы попасть на церемонию награждения, нужно войти в ТОП-10 со своим кейсом.
?Торопитесь отправлять заявки, осталось немного времени — https://award.awillix.ru/

Реклама. ООО «Авилликс». erid: 2VtzqxgkuNP

Application Security, ГК “Максима”

ЗП: 200 000 - 300 000 на руки

Формат работы: гибридный график
Локация: г. Москва, м. Киевская, Раевского 4, стр. 1А

Задачи:
• Внедрение, настройка инструментов продуктовой безопасности в CI/CD пайплайны, как в существующие, так и в новые;
• Пилотирование и адаптация инструментов и практик для развития автоматизации процессов безопасной разработки;
• Формирования рекомендаций по безопасности приложений;
• Консультация команды разработки по вопросам информационной безопасности и написанию безопасного кода;
• Анализ результатов работы инструментов безопасности (SAST, DAST, OSA/SCA, Fuzzing, Vulnerability Scanner);
• Участие в процессе устранения найденных уязвимостей.

Что нужно:
• Понимание процессов и этапов цикла безопасной разработки ПО (SSDLC);
• Опыт внедрения процессов и практик безопасной разработки в жизненный цикл программного обеспечения;
• Опыт работы с инструментами DevOps (Docker, Kubernetes, GitLab, Vault, Terraform, Ansible, Jenkins);
• Опыт работы с инструментами безопасности (SAST, DAST, OSA/SCA, Fuzzing, Vulnerability Scanner);
• Навыки разработки и автоматизации на Bash, Python;
• Умение разбираться в чужом коде (C/C++, Python);
• Умение анализировать исходный код на предмет наличия уязвимостей;
• Уверенная работа с Linux.

Контакты: @technokotya