Application Security Engineer

О компании

«Флант» предоставляет своим клиентам высококачественные услуги в сфере DevOps, а также разрабатывает крутые Open Source-инструменты для сообщества. Например, у нашей CI/CD-утилиты werf более четырех тысяч звезд на GitHub!

Мы давно и плотно работаем с Kubernetes, знаем его и любим, а также знакомим русскоязычное сообщество с лучшими практиками работы с ним. Возможно, вы смотрели наши выступления на различных отраслевых конференциях или читаете наш блог на Хабре.

В 2023 году «Флант» получил лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации.

О Deckhouse

В Deckhouse мы разрабатываем экосистему продуктов для Cloud Native-разработки. Мы развиваем Deckhouse Kubernetes Platform, сертифицированную CNCF и ведущую K8s-платформу в России. Наши продукты закрывают для инженеров других компаний весь спектр инфраструктурных задач: от управления контейнерными нагрузками и удобной доставки приложений до сложной виртуализации и мониторинга. А также автоматизируют рутину разработчиков: помогают им хранить секреты, управлять версиями кода, логами и решать множество других задач.

Мы создаём лучший набор инструментов для разработки, поддержки и эксплуатации ПО. Уже сейчас Deckhouse — это больше 200 компонентов, значительная часть которых доступна в Community-версии. У нас вы будете писать enterprise-фичи с нуля и разрабатывать сложные продукты, которые при этом должны быть понятными конечному пользователю и надёжно работать без вмешательства инженеров Deckhouse. Даже в закрытом контуре без доступа в интернет. Это непросто, но очень интересно.

Чем предстоит заниматься

• Участвовать во внедрении процессов безопасносной разработки ПО (SAST, DAST, Fuzzing, SCA/OSA).
• Проводить моделирование угроз безопасности информации и вырабатывать меры по их нейтрализации. 
• Выявлять и приоритизировать уязвимости в ПО, взаимодействовать с разработчиками для устранения уязвимостей и контроля исправлений.
• Определять интерфейсы, составляющие поверхность атаки, и проводить их анализ с точки зрения безопасности.
• Проводить анализ защищённости и тестирование на проникновение.

Требования

• Понимание угроз и уязвимостей, специфичных для контейнерных сред. 
• Опыт работы с инструментами по безопасной разработке — SAST, DAST, Fuzzing, SCA/OSA.
• Опыт проведения тестирования на проникновение. 
• Опыт написания скриптов на одном из языков программирования: Go, Python, Ruby или Bash.
• Знание Linux на уровне опытного пользователя.

Будет плюсом

• Знание современных методов защиты контейнеров и кластеров.
• Понимание архитектуры Kubernetes.
• Знание сетевых политик Kubernetes и концепций сервисной сети.

Оплата и Условия

• Работа в ИТ-компании, аккредитованной Минцифры.
• Полностью «белая» заработная плата и её регулярная индексация по итогам performance reviews.
• ДМС со стоматологией, страховкой от несчастных случаев и чек-апом.
• Индивидуальные занятия английским на онлайн-платформе.
• Компенсация 50% стоимости сессий на онлайн-сервисе психотерапии «Ясно».
• Бесплатные курсы Deckhouse Academy.
• Полностью удалённая работа — нужен только доступ в интернет.
• Современное «железо» от компании.
• Органическое неприятие бюрократии на уровне корпоративной культуры.
• Понятные цели и перспективы.
• Результаты труда, которыми можно гордиться.