Application Security Engineer (Bank)

Почему мы

• Свежий и однородный технологический стек.
• Актуальные Аppsec инструменты и минимум бюрократии, чтобы добавлять свои.
• Интересные задачи и неравнодушные к своему делу коллеги.

Что делать

• Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта).
• Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков).
• Триажить уязвимости со всевозможных сканеров и багбаунти.
• Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых).
• Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной.

Ожидания

• Ориентируетесь в цикле безопасной разработки SSDLC.
• Занимались анализом защищённости веб и мобильных приложений.
• Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические).
• Умеете обращаться с популярными Open Source SAST, DAST, SCA инструментами.
• Внятно изъясняетесь на Bash, Python или Go, SQL.
• Опыт работы: 3-6 лет.

Будет плюсом:

• Понимаете из чего состоят современные нагруженные веб-приложения.
• Ориентируетесь в K8s, CI/CD и работали над безопасностью в каких-то их вариантах.
• Отличаете Cherry-Pick от пуржа.

Работа в Банке Ozon — это

• Свободная атмосфера — без лишней бюрократии, дресс-кода и вот этого всего. Каждый сотрудник может влиять на то, каким получится продукт.
• Сложные B2B- и B2C-сервисы с миллионами пользователей.
• Разработка без Legacy-кода. Обычно мы создаём продукты практически с нуля.
• Ценные знания. У руководителей наших команд огромный опыт в банкинге и IT.
• Много возможностей для развития и карьерного роста. Приветствуем участие в конференциях и повышение квалификации, даём доступ к одной из крупнейших онлайн-библиотек.
• Комфортный офис: шикарный вид из окна, кофе-пойнты с фруктами, уютные зоны для общения и отдыха. Частично компенсируем покупки в вендинговых автоматах, даём скидки в разных заведениях.
• Надёжная страховка, внимание к здоровью. В первые недели работы оформляем ДМС со стоматологией, а во время путешествий и командировок оплачиваем страховку для выезда за границу. В офисе работают врач и психолог, дважды в неделю проходят занятия йогой. У сотрудников есть скидки на карты многих фитнес-клубов.
• Современная техника. Если нужен большой монитор или мощный ноутбук — предоставим.
• Гибкий подход к удалёнке. Если руководитель не против и качество работы на должном уровне, можно работать из дома всегда или время от времени.