Бизнес-партнер безопасности приложений / Application Security Business Partner

Ищем специалистов по ИБ уровня senior на два проекта.

🚀 DataTech

Команда создаёт хранилище данных и инструменты для их анализа. У нас лучшая ML команда экосистемы, мы гордимся этим положением и делаем ML продукты, которые смогут жить за рамками нашей компании! Внутри есть разработчики на Go и Python, отвечающие за экспертизу A/B тестов, ML и аналитику. Находясь в центре всех потоков данных, команда может подсказывать бизнесу, где есть блокеры эффективного роста.

🚀 B2C

Команда занимается «витриной» или, если говорить привычным языком, сайтом sbermarket.ru, Вся логика сайта до кнопки оплата заказа и настоящий highload! Также в работе мобильные приложения для клиентов и backend для них. В команде быстрые релизы — по несколько раз в день (мобилка раз в 2 недели). Результатами своей работы ты можешь напрямую влиять на доход компании.

💡Что нужно будет делать:

• взаимодействовать с командами аналитики и разработки для анализа бизнес-требований и их влияния на защищенность продукта;
• моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
• анализировать возможность мошеннических действий и уязвимостей в бизнес логике приложений;
• заниматься подготовкой требований по безопасности, а также контролировать соблюдение требований в процессе разработки;
• проводить ревью безопасности разработанной архитектуры, ревью исходного кода, тестирование безопасности релизов и систем;
• контролировать устранение уязвимостей и взаимодействовать с командой разработчиков с целью устранения проблем безопасности;
• взаимодействовать с DevSecOps по вопросам внедрения сканеров безопасности в пайплайны;
• проводить постоянное тестирование безопасности и проверки кода с целью повышения безопасности программного обеспечения.

🦸🏻‍♂️ Мы ждем, что ты:

• работаешь в области обеспечения безопасности приложений;
• понимаешь, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25;
• знаешь и применяешь стандарты в сфере безопасности приложений (OWASP ASVS, WSTG);
• понимаешь принципы и риски безопасности облачной инфраструктуры;
• понимаешь принципы работы микросервисной архитектуры и подходы к безопасности микросервисов;
• разрабатываешь на Python/Go/Ruby on Rails (большой плюс).

SberMarket Tech — это:

• высоконагруженный e-commerce: пиковая нагрузка 310 000 RPM, более 3Тб логов в день, число подов в 1 кластере k8s перевалило за 10 000;
• фокус на надежности и масштабируемости: мы обеспечиваем стабильность сервиса при росте нагрузке в 20 раз;
• одна из самых сильных Ruby-команд России. И хотим стать такими же в Go-разработке;
• mobile first не на словах, а на деле: более 80% заказов идут через мобильное приложение. А еще мы первые в РФ с приложением полностью на SwiftUI в продакшене.

🍩 Что интересного у нас есть?

• Возможность внести свои инициативы и увидеть результат своей работы;
• Компетентная команда (в отделе ИБ больше 20 человек);
• Можешь выбрать свой соцпакет — ДМС, спорт, промокоды на заказ продуктов или билеты в отпуск.
• Мы работаем удаленно из любой точки России. Но в Москве есть большой и красивый офис, поэтому если ты из этого города или будешь проездом — welcome.
• Предоставляем технику для работы на твой выбор с доставкой на дом.
• Помогаем интеллектуально и физически развиваться (электронная библиотека, книжный клуб, футбол).
• Уделяем большое внимание обучению сотрудников, поэтому в нашей knowledge base ты найдёшь много интересных курсов, книг и записей конференций. А если чего-то не хватило, то есть выделенный бюджет на образование.

А еще:

• мы сами участвуем в конференциях как спикеры;
• проводим внутренние митапы и дискуссионные клубы;
• не боимся экспериментировать с новыми решениями и технологиями;
• заботимся о сотрудниках: в компании есть специалист по здоровью и корпоративные психологи для разговоров по душам.