Описание:
Направляем энергию в дело. Мы развиваем цифровую платформу сбытового департамента «Газпром нефти», запускаем IT-проекты и совершенствуем клиентский опыт, чтобы скорые приезжали к людям, промышленные предприятия добывали, а люди успевали по своим делам и путешествовали. Лидер команды Центра информационной безопасности приглашает опытных IT-инженеров по информационной безопасности. Основная задача – повысить уровень безопасности в существующих и создаваемых системах. Предстоит работать с командами разработки, помогать и консультировать в создании корпоративных ИТ-решений, используемых внутри Компании или ее клиентами. Развивать практики ИБ в Компании, помогать выстраивать процессы и повышать осведомленность коллег в области ИБ. Выбирайте преимущества и бонусы работы в стабильной компании, реализуйте себя в масштабных проектах. РОЛЬ И ЗАДАЧИ В КОМАНДЕ: Анализировать безопасность веб и мобильных приложений. Участвовать в роли Security Champion для продуктовых команд: - оказывать экспертную поддержку командам разработки по практикам написания безопасного кода, - Code Review программных продуктов,- обработка и приоритизация уязвимостей от инструментов ИБ в рамках проекта,- контроль исправления выявленных замечаний. Развивать Application Security платформы (ASOC). Писать правила выявления уязвимостей для SAST. Разрабатывать и адаптировать рекомендациии по безопасному кодированию. Разрабатывать и развивать инструменты для автоматизации проверок ИБ. НЕОБХОДИМЫЕ ОПЫТ И НАВЫКИ: Высшее техническое образование. Способность и желание развиваться и изучать новые технологии. Фундаментальные знания IT-составляющей информационных систем: понимание принципов работы ОС (Windows, Linux), понимание работы сети на базе TCP/IP, основных сетевых и прикладных протоколов. Понимание принципов микросервисной архитектуры и методов взаимодействия современных приложений. Понимание принципов SSDLC. Знакомство с методологиями безопасной разработки (OWASP, BSIMM); работой Security-сканеров: SAST, DAST, MAST, SCA, Container Scanning. Понимание работы протоколов: HTTPS/HTTP, gRPC, WebSocket, Soap. Понимание механизмов виртуализации (KVM) и контейнеризации (Docker). Знания механизмов безопасности Linux, опыт работы с Git. Знания основных векторов атак на веб (OWASP top 10) и мобильные приложения (OWASP mobile top 10). Владение одним из языков программирования: Python, Go, JavaSript, PHP, Java/Kotlin, C++. МЫ ПРЕДЛАГАЕМ. Официальные гарантии: Бессрочный трудовой договор. Фиксированная часть вознаграждения обсуждается индивидуально. Годовое премирование по итогам общих достижений и индивидуального результата.
