Крупнейший универсальный коммерческий банк Казахстана приглашает тебя в свою команду. Мы ищем талантливых людей, готовых развиваться и расти вместе с нами.
Группа Halyk – это более 17 000 сотрудников в Казахстане и ряде других стран. Наш банк успешно работает на благо своих клиентов уже 100 лет. Мы оказываем услуги во всех сегментах финансового рынка: банковском, страховом, ценных бумаг, лизинговом.
Что ты будешь делать:
- Участие во внедрении и развитии процессов Application Security / SSDLC;
- Настройка, эксплуатация и сопровождение security-инструментов в процессе разработки;
- Интеграция и поддержка проверок в CI/CD: SAST, SCA, secrets scanning, IaC scanning, container/image scanning, DAST;
- Анализ результатов автоматизированных проверок, triage уязвимостей, снижение false positive и подготовка рекомендаций для команд;
- Взаимодействие с разработчиками, DevOps и архитекторами по вопросам безопасной разработки;
- Контроль выполнения security-требований на этапах разработки, сборки и поставки;
- Участие в формировании security gates, политик и базовых стандартов secure coding;
- Помощь в расследовании причин уязвимостей и повторяющихся проблем в коде, пайплайнах и конфигурациях;
- Участие в контейнерной и cloud-native безопасности в части приложений, образов и Kubernetes-контура;
- Ведение технической документации, участие в пилотах и развитии AppSec tooling.
Что мы ждем от тебя:
- Практический опыт в Application Security / AppSec / DevSecOps / SSDLC от 2–5 лет;
- Понимание жизненного цикла разработки ПО и того, как security встраивается в SDLC без fail в процесса;
- Опыт работы с одним или несколькими классами решений:
SAST, SCA, DAST, secrets scanning, IaC scanning, container security; - Понимание OWASP Top 10, основных классов уязвимостей веб-приложений, API и типовых ошибок разработки;
- Опыт работы с CI/CD и понимание того, как security-проверки встраиваются в pipeline;
- Базовое или хорошее понимание контейнеров, Kubernetes, Docker, image security, artifact repositories;
- Умение читать код, разбираться в технических причинах проблем и нормально объяснять их разработчикам;
- Навык не просто находить уязвимость, а понимать её контекст, реальный риск и приоритет исправления.
Будет плюсом:
- Опыт с инструментами вроде SonarQube, Checkmarx, Veracode, Fortify, Snyk, Trivy, ZAP, Burp, DefectDojo, Nexus / Artifactory;
- Опыт работы в банковской, финтех- или иной enterprise-среде;
- Понимание secure coding, threat modeling, software supply chain security, SBOM;
- Опыт с GitLab CI, Jenkins, GitHub Actions;
- Опыт в container/Kubernetes security и взаимодействии с DevOps/platform teams.
Мы предлагаем:
- Уникальный опыт, интересные задачи и проекты;
- Применение инновационных технологий в работе;
- Обучение и тренинги;
- Конкурентная оплата труда в соответствии с международными стандартами.
Заинтересовала вакансия? Откликайся!