Application Security Аналитик, Cloud.ru

ЗП: от 150к до 350к на руки (обсуждается по итогам интервью)

Уровень: middle, middle+, senior
Локация: РФ
Формат работы: удалёнка/гибрид/офис
Занятость: фулл-тайм

Обязанности:
-Взаимодействовать с командами аналитики и разработки для анализа бизнес требований и их влияния на защищенность продукта;
-Моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
-Анализировать возможность мошеннических действий и уязвимостей в бизнес логике приложений;
-Контролировать устранение уязвимостей и взаимодействовать с командой разработчиков с целью устранения проблем безопасности.

Будет плюсом:
-Умение анализировать исходный код на предмет наличия уязвимостей;
-Умение читать код на различных языках программирования.

Требования:
-Знание подходов по оценке уязвимостей и анализу рисков;
-Опыт построения модели угроз;
-Понимание актуальных угроз информационной безопасности, базовые знания о методах атак и уязвимостях, желание обучаться и повышать компетенции в области практической информационной безопасности.

Контакты: @samarov_a

Senior Security Engineer (Infrastructure), GDEV

ЗП: до 7000 евро на руки

Формат: офис на Кипре, в Армении или Казахстане, гибрид или полная удаленка

Задачи:
- Внедрять и улучшать контроли на уровне AWS EKS (kyverno, ролевая модель, мониторинг).
- Управление правилами и администрирование AWS WAF, Akamai WAF.
- Анализ конфигураций и уязвимостей на разных уровнях инфраструктуры (AWS, EKS, AI, IaC, IAM, on-prem) и заведение задач.
- Интегрировать инструменты SAST, SCA, Secret detection и анализировать результаты сканирования.
- Оценивать архитектуру решений с точки зрения безопасности.
- Коммуницировать с командами по архитектурным решениям, устранению уязвимостей.
- Совершенствовать процессы кибербезопасности за счёт автоматизаций, внедрения средств AI, повышения осведомленности.

Важно:
- Опыт работы на аналогичной должности от 5 лет.
- Умение писать и анализировать IaC и манифесты k8s, kyverno.
- Наличие практики в атакующей безопасности и знание современных векторов атак включая облачные технологии, AI, k8s.
- Знание современных практик и инструментов DevOps, GitOps
- Опыт работы c Akamai WAF, AWS WAF.
- Опыт настройки и интеграции инструментов SAST, SCA, Secret detection.
- Инициатива по доставке решений безопасности, выявлению новых уязвимостей, слабых конфигураций, угроз и рисков.
- Уверенный и смелый пользователь инструментов AI (GPT, MCP, n8n, cline, Cursor).
- Умение объяснить, презентовать и защитить сложные концепции на понятном языке.
- Умение работать над задачами самостоятельно в течение всего цикла (постановка, оценка, исследование, принятие решения, выбор из нескольких равновероятных вариантов, реализация, презентация, документирование, закрытие).

Контакты: telegram @yanaosetrova

DevSecOps, Zecurion

ЗП: 200-500к, net/gross зависит от опыта.

Локация: Москва, м. ВДНХ.
Формат: Полная занятость с гибридным графиком.

Под звездочкой: коробочное решение и C++, так же, серьезным сеньорам с амбициями до СТО пока интерес предложить не сможем(надо учитывать).

Задачи:
- Внедрение новых инструментов и практик DevSecOps, интеграция с системами разработки, автоматизация онбординга команд и поддержка непрерывного контроля защищенности приложений.
- Встраивание инструментов безопасности в DevOps процессы, настройка Security Gates, CI/CD пайплайны и автоматизация сканирований.
- IaC-проверки, управление секретами, мониторинг безопасности в рантайме, взаимодействие с разработчиками и устранение рисков в продакшене.

Мы ожидаем:
- Уверенное владение Linux, Docker, инструментами CI/CD.
- Понимание принципов DevSecOps, владение инструментами включая SAST, DAST, SCA и IAST.
- Способность самостоятельно определять и соблюдать установленные сроки задач.

Контакты: @MaryMiro_nova

Senior DevSecOps Engineer, Axevil Capital

ЗП: $3 000 / 300 000 ₽ (USD или RUB - на выбор)

Формат работы: Remote, full-time

Axevil Capital — цифровая private equity платформа для профессиональных инвесторов.
$100+ млн инвестиций, 1000+ инвесторов, портфель: Klarna, Stripe, Databricks, Kraken, Scale AI, Circle, SpaceX.

Задачи:
1. Инфраструктура и DevOps
- Эксплуатация и развитие Kubernetes-кластера (Helm, RBAC, NetworkPolicies, ingress/egress, lifecycle нод)
- Проектирование и поддержка CI/CD пайплайнов в GitLab CI
- Автоматизация и IaC: Ansible, Python/Bash
- Контейнеризация: Docker, сборка и публикация образов
- Виртуализация на базе VMware
- Мониторинг и логирование: ELK Stack, Prometheus, Grafana
- Управление секретами: Vault / SealedSecrets / GitLab secrets
2. Security / DevSecOps
- Внедрение SAST / DAST / SCA
- Контроль безопасности образов и зависимостей
- Policy-as-code (OPA / Kyverno), admission controllers
- Безопасные деплои: image signing, канареечные релизы
- Анализ уязвимостей и сопровождение их исправлений
- Участие в аудитах, рекомендации для dev-команд, security awareness
3. Безопасность на уровне компании
- Роль security-лидера и развитие культуры безопасности
- Проектирование и контроль IAM / SSO / ролевых моделей доступа
- Аудит прав доступа к критичным системам
- Разработка политик, регламентов и процедур безопасности
- Взаимодействие с руководством по вопросам рисков и compliance
- Работа с внешними подрядчиками (пентестеры, аудиторы)

Требования:
- Высшее профильное образование (Математика, Computer Science и тп) + дополнительная квалификация в области Cybersecurity (курсы, повышение квалификации и тп).
- Опыт работы на аналогичных позициях от 4 лет.
- Опыт с Kubernetes и CI/CD
- Python и/или Bash, Ansible
- Понимание DevSecOps, OWASP, MITRE ATT&CK
- Самостоятельность и ответственность

Подробное описание вакансии по ссылке

Контакты: резюме в Telegram @Artemduz

AppSec-инженер, Банк

ЗП: до 350 т.р. gross (можно обсудить индивидуально на собеседовании)

Локация: Екатеринбург
Опыт: 3-5 лет.

Ищем опытного AppSec-инженера, который готов обеспечивать анализ уязвимостей и участвовать в разработке архитектуры системы защиты на разных этапах разработки.

Чем вы будете заниматься:
• Определение угроз безопасности информации (списки актуальных атак в том числе), обоснование необходимости защиты информации. Разработка архитектуры системы защиты;
• Разработка структуры и содержания проектной и рабочей документации, определяющей технические и организационные платформенные решения, компоненты ИТС для обеспечения ИБ;
• Рассмотрение проектной и рабочей документации компонентов ИТС в части соответствия установленным требованиям ИБ;
• Разработка мер защиты информации для бизнес-процессов перевода денежных средств, совершения и сопровождения операций на финансовых рынках, обработки ПД;
• Проведение оценки защищенности прикладных платформ, компонентов ИТС (тестирование на проникновение и выявление известных уязвимостей);
• Участие в подготовке тест-кейсов для автоматического тестирования функций подсистемы ИБ.

От кандидата ожидаем:
• Навык безопасной разработки (AppSec, DevSecOps, SSDLC), понимание принципов работы, систем и технологий виртуализации (XEN, VMware, KVM);
• Опыт противодействия угрозам ИБ и работы с уязвимостями приложений (OWASP Top 10, CWE Top25, СТРК ФСТЭК, УБИ ФСТЭК). Знание стандартов и нормативных документов ИБ;
• Понимание технологий и принципов построения системы защиты информации. Опыт приемки автоматизированных систем, участие в проектной деятельности по предметной области;
• Опыт работы со встроенными механизмами обеспечения ИБ в ОС Windows, Linux;
• Знание принципов и методологий жизненного цикла ИТ-решений, знание основ документирования ИТ-решений;
• Базовое знание ЯП (Java, Go, JS, C#, Python);
• Опыт работы с инструментами CI/CD, системами оркестрации и контейнеризации (Docker, Kubernetes)

Контакты: @hr_nsk28

DevSecOps / Security Platform Engineer

Salary: from $5K

We’re looking for a hands-on DevSecOps / Security Platform Engineer to build and own security infrastructure in regulated environments. This is not a policy-only role — you’ll implement real controls that pass HIPAA, SOC 2, and SAMA CRFR audits.

What you’ll do:
Build SIEM/logging, EDR/XDR, alerting & detection
Secure IAM (RBAC, MFA, JML automation)
Implement audit-ready controls & automate evidence
Integrate security into CI/CD (SAST, SCA, secrets, IaC)
Handle incident response & cloud security
Work with AWS/Azure (US) and Huawei Cloud (KSA)

What we’re looking for:
6–10+ years in DevSecOps / Security Engineering
Strong hands-on cloud, IAM, network & CI/CD security
Experience with HIPAA, SOC 2, or regulated environments
Builder mindset (implementation > paperwork)

Why join:
Own security end-to-end, work with regulators & enterprises, build a real security platform.

Contact: @mukhser

Инженер внедрения (DevSecOps), Ximi Lab

ЗП: до 320 000 ₽ на руки

Формат работы: удалённо
Занятость: полная
Город: Москва

Ximi Lab — лаборатория цифровых технологий и разработчик продуктов в области информационной безопасности.
Компания выросла из стартапа в крупного вендора с международным признанием.

Чем предстоит заниматься:
— Внедрение решений в области информационной безопасности (направление DevSecOps);
— Запуск и настройка продуктов в контуре заказчика;
— Обследование инфраструктуры клиентов;
— Участие в рабочих встречах и presale-активностях;
— Техническая поддержка на этапе внедрения и сопровождение заказчиков;
— Участие в развитии внутренней инфраструктуры компании.

Мы ожидаем:
— !Опыт работы от 2 лет;
— !Понимание методов ИБ в процессах разработки и эксплуатации ПО;
— Знание DevSecOps-инструментов (commercial + opensource);
— Опыт работы с defect trackers;
— Docker и контейнерные технологии;
— Git, Linux, PostgreSQL;
— CI/CD системы;
— !Kubernetes, Helm;
— Ansible, Terraform;

Контакты: Telegram @lishersh

Инженер DevSecOps, Орпо

ЗП: до 300 000 ₽ на руки

Формат работы: удалённо
Занятость: полная
Город: Казань

Орпо – это компания, работающая в FinTech отрасли.
Наша команда запускает IT проекты с мировым масштабом.

Чем предстоит заниматься:
— Встраивать и развивать SSDLC-практики в CI/CD пайплайны продуктовых команд;
— Внедрять и сопровождать инструменты (SAST / SCA / Secret scanning, Container & IaC scanning);
— Проводить R&D в области AppSec и DevSecOps: тестировать новые инструменты, подходы и best practices;
— Улучшать процессы безопасной разработки, снижать time-to-fix уязвимостей;
— Формировать и внедрять KPI и метрики SSDLC (coverage, MTTR, false positives, security gates);
— Помогать командам разработки писать и деплоить более безопасный код;
— Участвовать в реагировании на security-инциденты и post-mortem анализе.

Мы ожидаем:
— !Опыт работы от 2 лет;
— !Практический опыт DevSecOps-подхода от года;
— Опыт работы с SAST-инструментами и понимание особенностей сканирования разных языков (С# / GO / Next.js + React.js);
— Опыт работы с уязвимостями в зависимостях (SCA) (понимание CVE, CVSS, умение формировать и анализировать SBOM);
— Уверенные навыки автоматизации на С# / GO;
— Хорошее понимание GitLab CI (yaml): (организация пайплайнов, встраивание security-чеков без блокировки бизнеса);
— Понимание принципов secure-by-design и shift-left security.

Контакты: Telegram @TOPfintech_hr

Kingston Stanley’s Salary Survey 2026 for the UAE

Application Security TechLead

ЗП: 6.000 - 10.000 €

Подчиненных: 5-6 человек

Мы — кадровое агентство match.one, и один из наших основных клиентов — компания 01.tech, которая создает инновационные и захватывающие продукты с уникальными функциями, меняющие индустрию.
Сейчас компания развивает направление AppSec и мы ищем специалиста, который поможет вывести процесс ревью безопасности архитектуры на новый уровень.

Почему эта роль важна?
В продукте уже более 100 миллионов пользователей по всему миру, имеют развитые процессы обнаружения, исправления и предотвращения уязвимостей. В связи с расширением открыта роль TechLead в команду AppSec Standard Service Team.
Цель команды: предоставить качественный сервис по стандартным задачам Application Security.

Задачи и зона ответственности:
- Стандартизация и выравнивание с бизнес-потребностями процессов Application Security;
- Развитие зрелости процессов: Threat Assessment, Security Architecture Review, Vulnerability management, Security Audit;
- Контроль процессов и ключевых показателей команды;
- Эскалация не стандартных кейсов в product owner и product CTO;
- Оптимизация процессов командной работы;
- Адаптация процессов под распределенную команду: контроль загрузки, автоматизация рутинных задач;
- Внедрение инструментов самообслуживания для продуктовых команд (self-service).

Основные требования:
- От 6 лет работы в CyberSecurity;
- Опыт проведения ревью безопасности архитектуры;
- Понимание архитектуры современных высоконагруженных систем на уровне близком к позиции архитектора;
- Опыт общения с CTO и владельцами бизнеса, обсуждения рисков, поиска компромисов;
- Понимание лучших практик управления командой;
- Развитые навыки коммуникации;
- Опыт разработки на любом языке программирования;
- Навык поиска уязвимостей в веб-приложениях.

Будет плюсом опыт:
- В компаниях с высоким уровнем зрелости процессов vulnerability management и application security;
- Анализа исходного кода для выявления уязвимостей;
- Участия в CTF и Bug Bounty;
- Разработки веб-приложений и автоматизации собственной деятельности;
- Обеспечения безопасности K8s \ Linux \ облачной инфраструктуры (MS, GCP, AWS);
- С DeFi и криптографией используемой в блокчейн проектах.

Контакты: @HR_yuliana

AppSec Engineer / DevSecOps

ЗП: до 320 000₽ на руки

Формат работы: удалённо (по РФ)
Занятость: полная

Мы - крупнейший системный интегратор со своим центром инноваций: создаем безопасную среду разработки внутри компании и упаковываем эту экспертизу в продукты для крупных заказчиков.

Чем предстоит заниматься:
▫️ Внедрять практики Security by Design в продуктовые команды и выстраивать SSDLC.
▫️ Развивать и кастомизировать инструменты безопасности (SAST, DAST, SCA, Secrets detection), связывая их в единую платформу на базе DefectDojo.
▫️ Писать ботов и скрипты для GitLab CI для автоматизации проверок.
▫️ Проводить Security Code Review и разбирать результаты сканирования (отсеивать False Positives).

Наш идеальный специалист:
▫️ Глубоко понимает OWASP Top 10 и принципы безопасной разработки.
▫️ Имеет опыт работы с инструментами: Semgrep, Gitleaks, Dependency Track, OWASP ZAP/Burp Suite.
▫️ Умеет автоматизировать рутину через API и писать скрипты (Python/Go/Bash).
▫️ Понимает технологии контейнеризации и CI/CD пайплайны.

Будет большим плюсом (не обязательно):
▫️ Навыки поиска архитектурных ошибок.
▫️ Экспертиза в Mobile Security.
▫️ Понимание стандартов (PCI DSS, ГОСТ Р 57580) с фокусом на техническую реализацию.

Контакты: @code_ka

Application Security Business Partner, EMCD (emcd.io)

ЗП: в рамках 6к$

Локация: удалённо
Формат: full-time

EMCD - международная крипто-финтех компания и один из крупнейших майнинг-пулов в мире, развивающая продукты в области трейдинга, обмена и Web3. Ищем security-специалиста, который будет работать внутри продуктовых команд и влиять на безопасность решений в юните.

Почему это может быть интересно:
— сложная и живая доменная область: crypto / exchange / fintech
— опыт, который реально котируется на международном рынке
— роль партнёра бизнеса: влияние на решения и процессы, а не просто чек-листы

Что предстоит делать:
— Работать с несколькими командами разработки по вопросам безопасности приложений
— Анализировать бизнес-требования и их влияние на security
— Проводить security review архитектуры, кода и релизов
— Взаимодействовать с DevSecOps по внедрению security-сканеров в CI/CD

Что важно:
— Опыт в application security от 3-х лет.
— Понимание OWASP Top 10 / OWASP Mobile Top 10 / CWE Top 25
— Знание стандартов app security (OWASP ASVS, WSTG и т.д.) и умение применять их на практике
— Понимание инфраструктуры, контейнеризации и связанных security-рисков
— Опыт работы с микросервисной архитектурой и её защитой
— Опыт разработки на Go / Python / JS - большой плюс

Контакты: @AlesyaPS

AppSec Engineer

Компания: Леста Игры
Занятость: полная

Леста Игры разрабатывает игровые проекты в различных жанрах, смело экспериментирует с инструментами и технологиями.

Мы делаем игры, которые стали настоящим культурным феноменом: «Мир танков», «Мир кораблей», Tanks Blitz, Royal Quest, а также работаем над новыми перспективными проектами.

Сейчас мы расширяем команду ИБ и активно ищем Application Security Engineer.🤗

Задачи:

- Поддержка и развитие процессов безопасной разработки.

- Проведение аудитов безопасности и ревью продуктовых сервисов и приложений.

- Разработка продуктовых требований по безопасности.

- Автоматизация рутинных задач и разработка инструментов.

- Разбор отчётов в программах Bug Bounty.

- Помощь разработчикам в выборе безопасных решений и написании безопасного кода.

Мы ожидаем:

- Опыт работы в области Application Security и/или DevSecOps от двух лет.

- Понимание причин возникновения и способов устранения/митигации распространённых уязвимостей (OWASP Top 10, OWASP Mobile Top 10, CWE Top 25).

- Понимание современного цикла разработки, процессов, практик и инструментов для обеспечения безопасности приложений.

- Опыт анализа защищённости веб- и мобильных приложений.

- Навыки работы и выстраивания процессов с распространёнными классами инструментов DevSecOps (SAST, SCA, DAST и т. п.).

- Владение одним из языков программирования: JS, Go, PHP, .Net, C#, C++, Python.

Что мы предлагаем:

- Работу в аккредитованной IT-компании.

- Расширенный полис ДМС.

- Доплаты по больничным листам и days off.

- Тренажёрный зал и душевые в офисе.

- Компенсацию спорта.

- Компенсацию питания.

- Подарки и выплаты сотрудникам на значимые даты (первый день в компании, день рождения, свадьба, рождение детей).

- Комнаты отдыха с настолками, приставками, игровыми автоматами/столами.

- Релакс-зоны с массажными креслами Yamaguchi и топовыми кофемашинами.

- От 500 до 1000 ед. игрового золота на ваш аккаунт в игре ежедневно.

- Гибкое начало дня: приходим в офис с 8 до 11, уходим с 17 до 20.

Контакты: @nika_yes99

Senior Security Engineer / DevSecOps, Юникорн

ЗП: 150 000 - 250 000 руб на руки (обсуждаемо)

Локация: Пермь
Формат работы: на месте работодателя или гибрид

Зоны ответственности:

Управление безопасностью и рисками:
1. Формирование и поддержка модели угроз (продукт, инфраструктура, интеграции, поставщики).
2. Управление ИБ-рисками: выявление, приоритизация, контроль mitigations.
3. Участие в принятии архитектурных решений с точки зрения безопасности.
4. Ведение и развитие Secure SDLC (S-SDLC).

DevSecOps и автоматизация:
1. Встраивание проверок безопасности в CI/CD (quality gates, security checks).
2. Автоматизация рутинных ИБ-процессов (скрипты, пайплайны, политики).
3. Контроль безопасности секретов, доступов, артефактов.
4. Взаимодействие с DevOps и разработкой как партнёр, а не контролёр.

Compliance и регуляторика:
1. Владение требованиями и практическая реализация: ФЗ-152, ФЗ-187, ПДн, КИИ, ГИС, при необходимости — ISO/IEC 27001, GDPR.
2. Подготовка и сопровождение аудитов, проверок, опросников заказчиков.
3. Формирование разумных и реализуемых требований, а не формального «бумажного» compliance.

Инциденты и взаимодействие:
1. Участие в разборе инцидентов ИБ, анализ корневых причин, улучшение процессов.
2. Коммуникация с заказчиками и партнёрами по вопросам ИБ.
3. Обучение команд базовым принципам безопасной разработки и эксплуатации.

Документация:
1. Модели угроз, регламенты, политики, архитектурные и эксплуатационные документы.
2. Поддержка документации в актуальном («живом») состоянии.

Ожидаемый опыт и компетенции:

Обязательное:
- Опыт в ИБ 6+ лет, в том числе:
DevSecOps / Security Engineer / AppSec — от 2 лет.
- Уверенное понимание:
безопасности приложений и инфраструктуры;
сетевых взаимодействий;
аутентификации, авторизации, IAM.
- Практический опыт:
threat modeling;
анализа и триажа уязвимостей;
внедрения ИБ-контролей в CI/CD.
- Умение автоматизировать (Bash / Python / пайплайны).
- Способность вести диалог с заказчиком и защищать техническую позицию компании.

Технологически (без фанатизма):
Опыт работы хотя бы с частью стека:
- Linux, SQL (на уровне эксплуатации и анализа).
- CI/CD: GitLab CI, Jenkins или аналоги.
- SAST / DAST / SCA, secret scanning.
- IAM / SSO (OAuth 2.0, OIDC, SAML).
- Secrets Management (Vault или аналоги).
Важно: мы не ищем человека, который знает всё, мы ищем того, кто понимает зачем и как это применять.

Будет плюсом:
- DevOps-инструменты: Ansible, Terraform.
- Docker, Kubernetes (на уровне эксплуатации и рисков).
- Опыт работы с Zero Trust-подходами.
- Опыт прохождения внешних аудитов и крупных заказчиков.
- Профильные сертификаты (CISSP, CISM, OSCP и др.).

Контакты: @HR_UJIN

https://perm.hh.ru/vacancy/130049109?hhtmFrom=employer_vacancies

Руководитель направления безопасности контейнерных сред, Cloud.ru

ЗП: от 400 до 650 000 гросс

Обязанности:
Организация анализа защищенности средств контейнеризации.
Взаимодействовать с командами разработки Managed Kubernetes, PaaS.
Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes.
Участие в разработке и реализации безопасных архитектурных решений в контексте k8s.
Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред.
Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании.

Требования:
Опыт внедрения и эксплуатации систем защиты класса Container Platform Security.
Экспертные знания Linux и его аспектов безопасности.
Владение инструментами IaC.
Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies).
Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет.
Опыт управления аналогичной командой от 1 года

Контакты: @oh_my_nerdy

https://cloud.ru/career/vacancies/3948466

Руководитель направления безопасности облака, Cloud.ru

ЗП: от 400 до 550 000 гросс

Обязанности:
Использование платформенных сервисов безопасности облака;
Формирование и внедрение secure-by-default настроек для используемых облачных сервисов;
Разработка security baselines для всех используемых облачных сервисов;
Формирование и контроль требований кибербезопасности по использованию облачных сервисов;
Участие в миграции информационных систем компании в облако;
Выявление потенциальных векторов атак в облачных сервисах;
Создание автоматизированных проверок безопасности конфигураций в облаке;
Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности;
Постоянно повышать защищенность инфраструктуры, размещенной в облаке;
Выступать заказчиком новых функций кибербезопасности;
Управление группой инженеров направления (2-3).

Требования:
Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет;
Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.;
Опыт работы с IAM решениями (облачных провайдеров или on-premise);
Опыт работы с Kubernetes и контейнеризацией на уровне пользователя.
Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation);
Опыт с CI/CD pipeline security;
Понимание OWASP Top 10;
Понимание принципов устройства REST/gRPC API;
Управление целями, управление командой.

Технические навыки:
Языки программирования: Python, Go, Bash;
Мониторинг: Prometheus, Grafana, ELK Stack.

Желательные навыки:
Сертификации: AWS Security Specialty, CISSP, CCSP;
Опыт с compliance frameworks (ISO 27001, PCI DSS);
Знание threat modeling и risk assessment.
Опыт в области DevSecOps.

Контакты: @oh_my_nerdy

https://cloud.ru/career/vacancies/4006010

DevSecOps инженер, Industry Soft Solutions

ЗП: до 350 000 на руки

Занятость: полная
Формат работы: удаленный

Мы аккредитованная ИТ компания. Стартанули в создании собственного национального ИТ-решения для автоматизации промышленности в области ТОиР
Продукт: Цифровая платформа промышленного искусственного интеллекта АтомМайнд (IoT платформа)

Будем рады познакомиться, если у тебя есть:
- Высшее или неоконченное высшее в сфере ИТ, информационной безопасности или смежных областях;
- Опыт в DevOps /DevSecOps /ИБ от 3 лет;
- Уверенное владение CI/CD; мониторинг: Prometheus, Grafana, ELK;
- Опыт администрирования: Linux (Ubuntu/CentOS/AstraLinux), Docker, Kubernetes, Helm;
- Знание языков автоматизации: Python/Bash/PowerShell;
- СУБД: PostgreSQL (отказоустойчивые кластеры), Redis. ClickHouse (ArenaData QuickMarts);
- Опыт работы с брокерами сообщений: Kafka/RabbitMQ;
- Владение инструментами безопасности: SAST, DAST, SCA, Fuzzing (желательно).

Основные задачи:
- DevOps-практики: Администрирование Linux-серверов (Ubuntu, AstraLinux), управление кластерами Docker/Kubernetes/Helm, поддержка мониторинга (Prometheus/Grafana/ELK) и СУБД (PostgreSQL, Redis, ClickHouse).
- Развертывание у заказчика: Проектирование и настройка инфраструктуры, включая брокеры сообщений (Kafka, RabbitMQ).
- Безопасность инфраструктуры: Работа с уязвимостями в контейнерных средах, контроль обновлений и патчинг систем. Оценка рисков безопасности сетевых систем и продуктов.
- Сертификация и стандарты: Обеспечение соответствия процессов разработки требованиям ФСТЭК, OWASP, NIST, ГОСТ Р 56939-2016. Подготовка разделов документации для сертификации ПО.
- DevSecOps: Внедрение и поддержка инструментов анализа защищенности (SAST, DAST, SCA) в контур CI/CD (GitLab). Проведение анализа кода и уязвимостей, выдача рекомендаций разработчикам.

Контакты: https://news.1rj.ru/str/Yumiliq

AppSec / DevSecOps, Ланит

ЗП: до 300 000 на руки

Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ». Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений.

Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду! Мы не занимаемся «формальным комплаенсом ради галочки», а создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые действительно помогают бизнесу и делают продукты более конкурентоспособными.

Как мы работаем
Автоматизируем всё, что можно: от конвейеров и Golden Repository до ботов, которые предлагают фиксы прямо в GitLab.
Собираем метрики и оцениваем эффективность процессов, а также их влияние на проекты с учётом найденных уязвимостей.
Оцениваем риски, связанные с бизнес-логикой приложений, и демонстрируем бизнесу ценность работы в области информационной безопасности.
Обучаем сотрудников инструментам и навыкам, которые помогают расти как в глубину, так и в ширину, развивая смежные компетенции.
У каждого инженера есть индивидуальный план развития.
Управляем своим backlog и выстраиваем эффективное взаимодействие как внутри команды, так и с заказчиками.

Что предстоит делать
- Внедрять практики security by design в продуктовые команды.
- Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker).
- Реализовывать security и quality gates, secret management и vulnerability management.
- Писать и кастомизировать тесты для CI.
- Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative.
- Интегрировать технические решения для использования сценариев Golden Repository.
- Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo.
- Подготавливать и анализировать метрики для контроля поставок кода на базе VMP.
- Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры.
- Проводить security code review сервисов перед релизом.
- Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов.

Что мы ждём от вас
- Умение находить и устранять уязвимости из OWASP Top 10 (не только веб).
- Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck.
- Понимание принципов построения SSDLC.
- Навыки работы с PoC для доказательной базы.
- Опыт автоматизации процессов через API (например, с использованием Swagger).
- Опыт внедрения процедур безопасной разработки.
- Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др.
- Умение работать с конфигурациями на YAML и писать сценарии.
- Знание архитектурных паттернов.
- Понимание сетей и интеграции инструментов безопасности в SDLC.

Будет плюсом
- Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике.
- Понимание принципов STLC.
- Знание работы веб-серверов (Nginx, Apache).
- Знание протоколов MQTT, CoAP.
- Опыт работы с песочницами.
- Навыки разработки, анализа чужого кода и проведения security code review.
- Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580.

Контакты: @shisha_tania