Application Security Business Partner

Ищем AppSec BP в домен Retail+Content.

Сбермаркет подключает новых ритейлеров и рестораны почти каждый день. Разрабатываются новые сервисы для простого подключения партнеров, добавляются новые фичи упрощающие жизнь как потребителям, так и партнерам.

Домен content - очень важное направлении, так как в результате его работы возникает та самая красивая витрина с фотографиями и описанием позиций. Вызовы которые предстоит решить в рамках работы в домене: стандартизация требований безопасности к партнерам, создание списка требований по выводу новых сервисов подключения, работа с неофициальными клиентами (приложениями), организация безопасной работы сервиса-биржи по созданию карточек товара. Кроме бизнесовых задач, есть и задачи по прокачке SSDLC и внутренних процессов.

Что нужно будет делать:

• взаимодействовать с командами аналитики и разработки для анализа бизнес-требований и их влияния на защищенность продукта;
• моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;
• анализировать возможность мошеннических действий и уязвимостей в бизнес логике приложений;
• заниматься подготовкой требований по безопасности, а также контролировать соблюдение требований в процессе разработки;
• проводить ревью безопасности разработанной архитектуры, ревью исходного кода, тестирование безопасности релизов и систем;
• контролировать устранение уязвимостей и взаимодействовать с командой разработчиков с целью устранения проблем безопасности;
• взаимодействовать с DevSecOps по вопросам внедрения сканеров безопасности в пайплайны;
• проводить постоянное тестирование безопасности и проверки кода с целью повышения безопасности программного обеспечения.

Мы ждем, что ты:

• работаешь в области обеспечения безопасности приложений;
• понимаешь, как работают угрозы из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25;
• знаешь и применяешь стандарты в сфере безопасности приложений (OWASP ASVS, WSTG);
• понимаешь принципы и риски безопасности облачной инфраструктуры;
• понимаешь принципы работы микросервисной архитектуры и подходы к безопасности микросервисов.

Что интересного у нас есть?

• Возможность внести свои инициативы и увидеть результат своей работы;
• Компетентная команда (в отделе ИБ больше 20 человек);
• Можешь выбрать свой соцпакет — ДМС, спорт, промокоды на заказ продуктов или билеты в отпуск.
• Мы работаем удаленно из любой точки. Но в Москве есть большой и красивый офис, поэтому если ты будешь проездом — welcome.
• Предоставляем технику для работы на твой выбор с доставкой на дом.
• Помогаем интеллектуально и физически развиваться (электронная библиотека, книжный клуб, футбол).
• Уделяем большое внимание обучению сотрудников, поэтому в нашей knowledge base ты найдёшь много интересных курсов, книг и записей конференций. А если чего-то не хватило, то есть выделенный бюджет на образование.

А еще:

• мы сами участвуем в конференциях как спикеры;
• проводим внутренние митапы и дискуссионные клубы;
• не боимся экспериментировать с новыми решениями и технологиями;
• заботимся о сотрудниках: в компании есть специалист по здоровью и корпоративные психологи для разговоров по душам.