Инженер по безопасности приложений/ Application Security Engineer

ManyChat — это платформа для автоматизации общения. Мы помогаем бизнесам общаться с клиентами в популярных мессенджерах: Facebook Messenger, Instagram, WhatsApp, а скоро и Telegram.

ManyChat Team построена из кроссфункциональных команд разработчиков, дизайнеров и продакт менеджеров. Основная часть разработки находится в Москве, HQ — в Сан-Франциско.

На сегодняшний день у нас более миллиона пользователей — небольших бизнесов и организаций по всему миру: от пекарни в Нью-Джерси до Министерства Образования Филиппин. С помощью ManyChat они решают такие задачи, как продвижение и продажа товаров и услуг, запуск и анализ рекламных кампаний, привлечение клиентов и поддержка.

Оk, зачем мы ищем коллегу?

Мы переходим в активную фазу воплощения наших амбициозных идей и для этого нужно запустить процесс исследования веб- и мобильных приложений компании на уязвимости и соответствие требованиям безопасности. Эта вакансия для тех, кто хочет стоять у истоков направления кибербезопасности и радуется челленджам: придется делать много с нуля, изучать самоотверженно и быть решительным.

Миссия этой роли — находить и устранять технические уязвимости продуктов компании, чтобы сделать наше решение стабильнее, надежнее и безопаснее для пользователей.

Что предстоит делать?

• интегрировать инструментарий безопасности в процессы DevOps;
• поддерживать высокий уровень технической защищенности нашего продукта и ИТ-инфраструктуры;
• анализировать бизнес требования и то, как они могут повлиять на уровень защищенности продукта;
• моделировать угрозы и формировать требования к защищенности, полностью погружаясь в работу проектной команды, становясь ее частью;
• использовать SAST и DAST инструменты: анализировать отчеты, приоритизировать уязвимости, выявленные в результатах Static/Dynamic сканирования;
• контролировать устранение уязвимостей и проводить необходимые консультации разработчиков о путях устранения проблем безопасности.
• проводить security code review;
• поддерживать работу инструментов SAST, DAST, Log management, VM и AWS security;
• участвовать в проведении тестирований на проникновение (penetration tests).

Необходимые навыки:

• опыт работы в качестве Application Security Engineer от 3+ лет. Опыт работы в SaaS компании будет хорошим плюсом;
• практический опыт проведения анализа защищённости веб- и мобильных приложений, умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты приложений и умение исправлять найденные уязвимости на архитектурном уровне;
• знание стандартов и фреймворков информационной безопасности: OWASP ASVS, OWASP WSTG, X.509, SAML, TLS и др;
• хорошее понимание проектирования и реализации сложной архитектуры IT-систем (pgSQL, SnowFlake, Redis, Queue L);
• навыки использования SAST/DAST и написания собственных правил для этих инструментов;
• английский язык не ниже upper-intermediate (это действительно важно, часть команды - в Сан-Франциско);
• понимание внутренних процессов разработки (Agile, Scrum);
• умение делать дела :)

Копилка плюсов:

• Опыт разработки на PHP и React;
• Опыт реализации процесса DevSecOps в компании;
• Знание инструментов безопасности AWS (IAM, Inspector, Config, CloudTrail, CloudWatch, GuardDuty и др.);
• Опыт проведения security code review;
• Образование (курсы) в области application security, ethical hacking, penetration testing;
• Достижения в программах BugBounty или CTF турнирах.

Мы считаем, что секрет роста – в обучении, и готовы с этим активно помогать:

• у каждого сотрудника есть ментор внутри компании, который помогает с профессиональным развитием и прокачкой;
• мы оплачиваем участие в российских и международных конференциях, профильных курсах и покупаем нужную сотрудникам литературу;
• в офисе мы организуем митапы, конференции и тренинги;
• полностью оплачиваем занятия английским языком с первой недели работы (SkyEng или Italki).

Нам важно, как вы себя чувствуете:

• ДМС со стоматологией с первого дня работы;
• спорт: компенсация 50% стоимости абонемента в фитнес-клуб.

Нам важно, чтобы на работе было комфортно:

• заботимся о здоровье и безопасности сотрудников, поэтому команда перешла на удаленный формат;
• купим ту технику, которая нужна для работы: MacBook, монитор и необходимое дополнительное оборудование;
• со своей командой можно выбрать любое время для начала и окончания рабочего дня; 
• сейчас мы работаем в remote-first процессах: большую часть времени вы можете работать удаленно и пару раз в квартал встречаться с командой в Москве.