Основные обязанности:

Основные задачи
Участие во внедрении и развитии процессов Application Security / SSDLC.
Настройка, эксплуатация и сопровождение security-инструментов в процессе разработки.
Интеграция и поддержка проверок в CI/CD: SAST, SCA, secrets scanning, IaC scanning, container/image scanning, DAST.
Анализ результатов автоматизированных проверок, triage уязвимостей, снижение false positive и подготовка рекомендаций для команд.
Взаимодействие с разработчиками, DevOps и архитекторами по вопросам безопасной разработки.
Контроль выполнения security-требований на этапах разработки, сборки и поставки.
Участие в формировании security gates, политик и базовых стандартов secure coding.
Помощь в расследовании причин уязвимостей и повторяющихся проблем в коде, пайплайнах и конфигурациях.
Участие в контейнерной и cloud-native безопасности в части приложений, образов и Kubernetes-контура.
Ведение технической документации, участие в пилотах и развитии AppSec tooling.

Будет плюсом
Опыт с инструментами вроде SonarQube, Checkmarx, Veracode, Fortify, Snyk, Trivy, ZAP, Burp, DefectDojo, Nexus / Artifactory.
Опыт работы в банковской, финтех- или иной enterprise-среде.
Понимание secure coding, threat modeling, software supply chain security, SBOM.
Опыт с GitLab CI, Jenkins, GitHub Actions.
Опыт в container/Kubernetes security и взаимодействии с DevOps/platform teams.
Навык писать понятные remediation-рекомендации для разработчиков.


Кого не ищем:
человека без технической базы, который умеет только пересылать отчёты;
чистого compliance/GRC-специалиста;
оператора тулов, который не понимает, что именно он запускает и как интерпретировать результат;
разработчика без интереса к безопасности и без опыта AppSec/SSDLC.

Основные требования:

Что ожидаем от кандидата
Практический опыт в Application Security / AppSec / DevSecOps / SSDLC от 2–5 лет.
Понимание жизненного цикла разработки ПО и того, как security встраивается в SDLC без fail в процесса.
Опыт работы с одним или несколькими классами решений:
SAST, SCA, DAST, secrets scanning, IaC scanning, container security.
Понимание OWASP Top 10, основных классов уязвимостей веб-приложений, API и типовых ошибок разработки.
Опыт работы с CI/CD и понимание того, как security-проверки встраиваются в pipeline.
Базовое или хорошее понимание контейнеров, Kubernetes, Docker, image security, artifact repositories.
Умение читать код, разбираться в технических причинах проблем и нормально объяснять их разработчикам.
Навык не просто находить уязвимость, а понимать её контекст, реальный риск и приоритет исправления.

Условия:

•Жалақы және бонустар: Грейдтеу жүйесінің арқасында бәсекеге қабілетті жалақы, Тәуелсіздік күніне сыйақылар және жылдық бонус.
•Әлеуметтік пакет: ДМС және өмірді сақтандыру, мобильді байланыс және серіктестердің жеңілдіктері.
•Демалыс: Маңызды оқиғалар болған жағдайда қосымша күндермен 26 күндік демалыс.
•Ұсынымдар үшін бонустар.
•Жұмыс жағдайлары: Тұраққа жазылымды сатып алуға арналған жеңілдікті шарттар, еркін киім стилі (smart casual).
•Оқыту және даму: Тренингтер, вебинарлар және корпоративтік кітапханаға қолжетімділік, мансаптық өсудің нақты жүйесі.
•Корпоративтік мәдениет: Ашық және достық жұмыс атмосферасы, спорттық турнирлер және белсенді корпоративтік өмір.
•Бастамалар мен жобалар: Әлеуметтік жобаларға қатысу мүмкіндігі, қазіргі заманғы digital-құралдарды қолдана отырып, «Halyk» тобының жаңа жобаларында өз идеяларыңызды жүзеге асыру.
•Команда: Идеяларыңызды жүзеге асыруға мүмкіндік беретін шығармашылық және қолдаушы команда.
Бізге қосылып, «Halyk» командасының бір бөлігі болыңыз!