Инженер по безопасности приложений/ Application Security Engineer
Требования
Местоположение и тип занятости
Компания
Описание вакансии
Условия работы
ManyChat — это платформа для автоматизации общения. Мы помогаем бизнесам общаться с клиентами в популярных мессенджерах: Facebook Messenger, Instagram, WhatsApp, а скоро и Telegram.
ManyChat Team построена из кроссфункциональных команд разработчиков, дизайнеров и продакт менеджеров. Основная часть разработки находится в Москве, HQ — в Сан-Франциско.
На сегодняшний день у нас более миллиона пользователей — небольших бизнесов и организаций по всему миру: от пекарни в Нью-Джерси до Министерства Образования Филиппин. С помощью ManyChat они решают такие задачи, как продвижение и продажа товаров и услуг, запуск и анализ рекламных кампаний, привлечение клиентов и поддержка.
Оk, зачем мы ищем коллегу?
Мы переходим в активную фазу воплощения наших амбициозных идей и для этого нужно запустить процесс исследования веб- и мобильных приложений компании на уязвимости и соответствие требованиям безопасности. Эта вакансия для тех, кто хочет стоять у истоков направления кибербезопасности и радуется челленджам: придется делать много с нуля, изучать самоотверженно и быть решительным.
Миссия этой роли — находить и устранять технические уязвимости продуктов компании, чтобы сделать наше решение стабильнее, надежнее и безопаснее для пользователей.
Что предстоит делать?
- интегрировать инструментарий безопасности в процессы DevOps;
- поддерживать высокий уровень технической защищенности нашего продукта и ИТ-инфраструктуры;
- анализировать бизнес требования и то, как они могут повлиять на уровень защищенности продукта;
- моделировать угрозы и формировать требования к защищенности, полностью погружаясь в работу проектной команды, становясь ее частью;
- использовать SAST и DAST инструменты: анализировать отчеты, приоритизировать уязвимости, выявленные в результатах Static/Dynamic сканирования;
- контролировать устранение уязвимостей и проводить необходимые консультации разработчиков о путях устранения проблем безопасности.
- проводить security code review;
- поддерживать работу инструментов SAST, DAST, Log management, VM и AWS security;
- участвовать в проведении тестирований на проникновение (penetration tests).
Необходимые навыки:
- опыт работы в качестве Application Security Engineer от 3+ лет. Опыт работы в SaaS компании будет хорошим плюсом;
- практический опыт проведения анализа защищённости веб- и мобильных приложений, умение эксплуатировать найденные уязвимости (PoC), понимание принципов защиты приложений и умение исправлять найденные уязвимости на архитектурном уровне;
- знание стандартов и фреймворков информационной безопасности: OWASP ASVS, OWASP WSTG, X.509, SAML, TLS и др;
- хорошее понимание проектирования и реализации сложной архитектуры IT-систем (pgSQL, SnowFlake, Redis, Queue L);
- навыки использования SAST/DAST и написания собственных правил для этих инструментов;
- английский язык не ниже upper-intermediate (это действительно важно, часть команды - в Сан-Франциско);
- понимание внутренних процессов разработки (Agile, Scrum);
- умение делать дела :)
Копилка плюсов:
- Опыт разработки на PHP и React;
- Опыт реализации процесса DevSecOps в компании;
- Знание инструментов безопасности AWS (IAM, Inspector, Config, CloudTrail, CloudWatch, GuardDuty и др.);
- Опыт проведения security code review;
- Образование (курсы) в области application security, ethical hacking, penetration testing;
- Достижения в программах BugBounty или CTF турнирах.
Бонусы
Мы считаем, что секрет роста – в обучении, и готовы с этим активно помогать:
- у каждого сотрудника есть ментор внутри компании, который помогает с профессиональным развитием и прокачкой;
- мы оплачиваем участие в российских и международных конференциях, профильных курсах и покупаем нужную сотрудникам литературу;
- в офисе мы организуем митапы, конференции и тренинги;
- полностью оплачиваем занятия английским языком с первой недели работы (SkyEng или Italki).
Нам важно, как вы себя чувствуете:
- ДМС со стоматологией с первого дня работы;
- спорт: компенсация 50% стоимости абонемента в фитнес-клуб.
Нам важно, чтобы на работе было комфортно:
- заботимся о здоровье и безопасности сотрудников, поэтому команда перешла на удаленный формат;
- купим ту технику, которая нужна для работы: MacBook, монитор и необходимое дополнительное оборудование;
- со своей командой можно выбрать любое время для начала и окончания рабочего дня;
- сейчас мы работаем в remote-first процессах: большую часть времени вы можете работать удаленно и пару раз в квартал встречаться с командой в Москве.