Основные обязанности:

Основные задачи
Участие во внедрении и развитии процессов Application Security / SSDLC.
Настройка, эксплуатация и сопровождение security-инструментов в процессе разработки.
Интеграция и поддержка проверок в CI/CD: SAST, SCA, secrets scanning, IaC scanning, container/image scanning, DAST.
Анализ результатов автоматизированных проверок, triage уязвимостей, снижение false positive и подготовка рекомендаций для команд.
Взаимодействие с разработчиками, DevOps и архитекторами по вопросам безопасной разработки.
Контроль выполнения security-требований на этапах разработки, сборки и поставки.
Участие в формировании security gates, политик и базовых стандартов secure coding.
Помощь в расследовании причин уязвимостей и повторяющихся проблем в коде, пайплайнах и конфигурациях.
Участие в контейнерной и cloud-native безопасности в части приложений, образов и Kubernetes-контура.
Ведение технической документации, участие в пилотах и развитии AppSec tooling.

Будет плюсом
Опыт с инструментами вроде SonarQube, Checkmarx, Veracode, Fortify, Snyk, Trivy, ZAP, Burp, DefectDojo, Nexus / Artifactory.
Опыт работы в банковской, финтех- или иной enterprise-среде.
Понимание secure coding, threat modeling, software supply chain security, SBOM.
Опыт с GitLab CI, Jenkins, GitHub Actions.
Опыт в container/Kubernetes security и взаимодействии с DevOps/platform teams.
Навык писать понятные remediation-рекомендации для разработчиков.


Кого не ищем:
человека без технической базы, который умеет только пересылать отчёты;
чистого compliance/GRC-специалиста;
оператора тулов, который не понимает, что именно он запускает и как интерпретировать результат;
разработчика без интереса к безопасности и без опыта AppSec/SSDLC.

Основные требования:

Что ожидаем от кандидата
Практический опыт в Application Security / AppSec / DevSecOps / SSDLC от 2–5 лет.
Понимание жизненного цикла разработки ПО и того, как security встраивается в SDLC без fail в процесса.
Опыт работы с одним или несколькими классами решений:
SAST, SCA, DAST, secrets scanning, IaC scanning, container security.
Понимание OWASP Top 10, основных классов уязвимостей веб-приложений, API и типовых ошибок разработки.
Опыт работы с CI/CD и понимание того, как security-проверки встраиваются в pipeline.
Базовое или хорошее понимание контейнеров, Kubernetes, Docker, image security, artifact repositories.
Умение читать код, разбираться в технических причинах проблем и нормально объяснять их разработчикам.
Навык не просто находить уязвимость, а понимать её контекст, реальный риск и приоритет исправления.

Условия:

•Заработная плата и бонусы: конкурентоспособная оплата труда благодаря системе грейдирования, премии ко Дню Независимости и годовой бонус.
•Социальный пакет: ДМС и страхование жизни, мобильная связь и скидки от партнеров.
•Отпуск и отдых: 26 дней отпуска с возможностью взять дополнительные дни при наступлении важных событий.
•Бонусы за рекомендации.
•Рабочие условия: льготные условия на паркинг, свободный стиль одежды (smart casual).
•Обучение и развитие: тренинги, вебинары и доступ к корпоративной библиотеке, четкая система карьерного роста.
•Корпоративная культура: открытая и дружеская рабочая атмосфера, спортивные турниры и активная корпоративная жизнь.
•Инициативы и проекты: возможность участия в социальных проектах, реализация идей в новых проектах группы «Halyk» с использованием современных digital-инструментов.
•Команда: творческая и поддерживающая команда для реализации ваших идей.
Присоединяйтесь к нам и становитесь частью команды «Halyk»!