AppSec engineer
Требования
Местоположение и тип занятости
Компания
Описание вакансии
Условия работы
Циан — публичная IT-компания, крупнейший в России сервис для поиска недвижимости, входит в мировой топ-10.
Больше 20 лет мы помогаем быстрее решать вопросы с жилой и коммерческой недвижимостью: найти, оценить, купить, снять, продать, сдать и оформить сделку без рисков. Мы делаем сервисы, которые помогают владельцам недвижимости, застройщикам, агентам и обычным людям оптимизировать рутину поиска и продаж.
Ежемесячная аудитория около 18,7 млн.человек. Растить число пользователей и решать их проблемы помогают уже больше 1000 человек.
О команде
В компании создано направление информационной безопасности численностью 15 человек.
Основная цель направления - формирование безопасной среды для разработки и развития продукта, ИТ-инфраструктуры компании.
Задачи, которые могут стать твоими
- Поддержка и обеспечение безопасности продуктовой разработки на всех этапах жизненного цикла разработки;
- Анализ кода, архитектуры и бизнес-операций на уязвимости и слабые места;
- Автоматизация и совершенствование процессов application security
- Мониторинг, реагирование и расследование инцидентов ИБ
Мы видим на этой позиции человека, который
- Имеет опыт работы в области application/product security не менее 1 года;
- Понимает работу Web протоколов (HTTPS, HTTP, Websocket, gRPC, etc.);
- Имеет опыт обнаружения и исправления уязвимостей в web приложениях (OWASP TOP 10);
- Знает основные фреймворки, протоколы, стандартов безопасности (OAuth2, JWT, OpenID Connect. и т.п.), знает протоколы криптографической защиты, базовое знает средства защиты инфраструктуры;
- Способен свободно читать код на C#/Java/Python;
- Имеет навыки автоматизации задач на Python;
- Имеет опыт разработки алертов, мониторингов;
- Обладает опытом реагирования и расследования инцидентов ИБ;
- Имеет навыки менеджмента инцидентов ИБ;
- Обладает системным мышлением.
Будет плюсом, если вы имеете
- Опыт работы с микросервисной архитектурой;
- Знание паттернов проектирования ПО
- Опыт автоматизации в области application security (правила для SAST, самописные сканеры, внедрение инструментов в CI/CD и т.д.);
- Опыт работы с базами данных;
- Опыт продуктовой разработки;
- Offensive опыт в Web Application Security;
- Способность принимать решения с точки зрения risk management, а не просто хорошо/плохо;
- Опыт работы с Agile командами с низким TTM и высокой частотой релизов;
- Опыт участия в соревнованиях CTF, хакатонах, решение HTB
- Навыки разработки кода на Python, Go
Бонусы
Что мы предлагаем
- Удаленную работу с возможностью приходить в офис в Москве, Санкт-Петербурге и Новосибирске. В офисе – кухни, оборудованные всем необходимым, а также снеки, фрукты, кофе и чай, бесплатная авто и вело парковки;
- Рост и развитие: в первые месяцы у каждого сотрудника есть ментор, после появляется личный план развития и возможность прокачивать soft/ hard skills на практике, обучении, конференциях;
- Плюшки: ДМС с первого дня (стоматология, госпитализация, полис ВЗР), ежегодная компенсация спорта, 5 day off в год, помимо основного отпуска.