👀 Классные компании ищут бэкендеров — на Вайб-чеке → vibe.habr.com

Инженер информационной безопасности (Application Security)

Местоположение и тип занятости

МоскваПолный рабочий деньМожно удаленно

Компания

Специальное подразделение Ozon, где тесно переплетается всё, что связано с финансами и IT

Описание вакансии

О компании и команде

Команда информационной безопасности Банка Ozon ищет специалистов на направление Application Security финансовых сервисов. Мы очень динамично растём, расширяем возможности наших решений за счёт множества интеграций с платформой Ozon, постоянно повышаем экспертизу в безопасном построении архитектуры финансовых продуктов и сервисов.
Мы активно используем практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, а также собственные процедурные, методологические и технические наработки для повышения эффективности.

Задачи: 

  • Анализ трендов, участие в создании стратегии развития практик и идеологии Application Security в Ozon Банке;
  • Инструментальный анализ решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
  • Развитие, внедрение и автоматизация внутренней методологии анализа рисков в приложениях внутренней разработки;
  • Интеграция инструментария в процессы DevOps в сотрудничестве с головной функцией Ozon Application Security;
  • Пилотирование и адаптация инструментов и практик для развития автоматизации процессов безопасной разработки;
  • Консультирование по триажу и подготовка рекомендаций по устранению уязвимостей в приложениях.

Ожидания от кандидата

  • Опыт работы в AppSec от 2 лет;
  • Понимание принципов работы современных веб-приложений и их защиты;
  • Знание векторов атак на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты;
  • Знание приёмов митигации распространенных уязвимостей и безопасной разработки;
  • Знание основных подходов и практик DevSecOps/AppSec, опыт работы с инструментами анализа (SAST, SCA, DAST), включая интеграцию инструментов в CI/CD;
  • Умение настраивать и администрировать распространенные инструменты CI/CD;
  • Умение разбираться в чужом коде (Golang, JS, Python, C#, Java, Kotlin, Obj-C);
  • Навыки скриптинга для автоматизации своих задач: Python, Bash, Powershell;
  • Операционные системы Windows/Unix на уровне администратора.

будет плюсом:

  • Опыт работы с облачными технологиями, контейнерами: деплой, администрирование, безопасность;
  • Написание правил для CodeQL, semgrep, политик CodeScoring;
  • Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC);
  • Проведение собственных исследований, участие в BugBounty программах;
  • Участие в СTF, наличие профильных сертификатов.

Условия работы

  • Свободная атмосфера — без лишней бюрократии, дресс-кода и вот этого всего. Каждый сотрудник может влиять на то, каким получится продукт;
  • Сложные B2B- и B2C-сервисы с миллионами пользователей;
  • Разработка без legacy-кода. Обычно мы создаём продукты практически с нуля;
  • Ценные знания. У руководителей наших команд огромный опыт в банкинге и IT;
  • Много возможностей для развития и карьерного роста. Приветствуем участие в конференциях и повышение квалификации, даём доступ к одной из крупнейших онлайн-библиотек;
  • Комфортный офис: шикарный вид из окна, кофе-пойнты с фруктами, уютные зоны для общения и отдыха. Частично компенсируем покупки в вендинговых автоматах, даём скидки в разных заведениях;
  • Надёжная страховка, внимание к здоровью. В первые недели работы оформляем ДМС со стоматологией, а во время путешествий и командировок оплачиваем страховку для выезда за границу. В офисе работают врач и психолог, дважды в неделю проходят занятия йогой. У сотрудников есть скидки на карты многих фитнес-клубов.
  • Современная техника. Если нужен большой монитор или мощный ноутбук — предоставим.
  • Гибкий подход к удалёнке. Если руководитель не против и качество работы на должном уровне, можно работать из дома всегда или время от времени.