Инженер информационной безопасности (Application Security)
Требования
Местоположение и тип занятости
Компания
Специальное подразделение Ozon, где тесно переплетается всё, что связано с финансами и IT
Описание вакансии
О компании и команде
Команда информационной безопасности Банка Ozon ищет специалистов на направление Application Security финансовых сервисов. Мы очень динамично растём, расширяем возможности наших решений за счёт множества интеграций с платформой Ozon, постоянно повышаем экспертизу в безопасном построении архитектуры финансовых продуктов и сервисов.
Мы активно используем практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, а также собственные процедурные, методологические и технические наработки для повышения эффективности.
Задачи:
- Анализ трендов, участие в создании стратегии развития практик и идеологии Application Security в Ozon Банке;
- Инструментальный анализ решений и технологий с точки зрения информационной безопасности и разработка рекомендаций по повышению уровня их защищенности;
- Развитие, внедрение и автоматизация внутренней методологии анализа рисков в приложениях внутренней разработки;
- Интеграция инструментария в процессы DevOps в сотрудничестве с головной функцией Ozon Application Security;
- Пилотирование и адаптация инструментов и практик для развития автоматизации процессов безопасной разработки;
- Консультирование по триажу и подготовка рекомендаций по устранению уязвимостей в приложениях.
Ожидания от кандидата
- Опыт работы в AppSec от 2 лет;
- Понимание принципов работы современных веб-приложений и их защиты;
- Знание векторов атак на современные приложения (web, desktop, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты;
- Знание приёмов митигации распространенных уязвимостей и безопасной разработки;
- Знание основных подходов и практик DevSecOps/AppSec, опыт работы с инструментами анализа (SAST, SCA, DAST), включая интеграцию инструментов в CI/CD;
- Умение настраивать и администрировать распространенные инструменты CI/CD;
- Умение разбираться в чужом коде (Golang, JS, Python, C#, Java, Kotlin, Obj-C);
- Навыки скриптинга для автоматизации своих задач: Python, Bash, Powershell;
- Операционные системы Windows/Unix на уровне администратора.
будет плюсом:
- Опыт работы с облачными технологиями, контейнерами: деплой, администрирование, безопасность;
- Написание правил для CodeQL, semgrep, политик CodeScoring;
- Практический опыт проведения анализа защищённости веб-приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC);
- Проведение собственных исследований, участие в BugBounty программах;
- Участие в СTF, наличие профильных сертификатов.
Условия работы
- Свободная атмосфера — без лишней бюрократии, дресс-кода и вот этого всего. Каждый сотрудник может влиять на то, каким получится продукт;
- Сложные B2B- и B2C-сервисы с миллионами пользователей;
- Разработка без legacy-кода. Обычно мы создаём продукты практически с нуля;
- Ценные знания. У руководителей наших команд огромный опыт в банкинге и IT;
- Много возможностей для развития и карьерного роста. Приветствуем участие в конференциях и повышение квалификации, даём доступ к одной из крупнейших онлайн-библиотек;
- Комфортный офис: шикарный вид из окна, кофе-пойнты с фруктами, уютные зоны для общения и отдыха. Частично компенсируем покупки в вендинговых автоматах, даём скидки в разных заведениях;
- Надёжная страховка, внимание к здоровью. В первые недели работы оформляем ДМС со стоматологией, а во время путешествий и командировок оплачиваем страховку для выезда за границу. В офисе работают врач и психолог, дважды в неделю проходят занятия йогой. У сотрудников есть скидки на карты многих фитнес-клубов.
- Современная техника. Если нужен большой монитор или мощный ноутбук — предоставим.
- Гибкий подход к удалёнке. Если руководитель не против и качество работы на должном уровне, можно работать из дома всегда или время от времени.