Команда информационной безопасности Ozon-Банка ищет Application Security-инженера в направление продуктовой безопасности. Платежные механики являются сердцем для всех продуктов Ozon и мы активно растем вместе, рука об руку, строя самый безопасный цифровой банк для миллионов пользователей, и лучшие финансовые продукты для продавцов маркетплейса.
Мы активно используем лучшие практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, но вместе с тем специфика финансов не допускает многих компромиссов, поэтому мы также строим локальную инфраструктуру и процессы, дополняющие профиль безопасности продуктов Ozon.
Вам предстоит
- Сопровождать разработку новых продуктов (вникать в бизнес-процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять, доехала ли безопасность до запуска продукта).
- Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков).
- Триажить уязвимости со всевозможных сканеров и багбаунти.
- Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых).
- Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной.
Вы нам подходите, если
- Ориентируетесь в цикле безопасной разработки SSDLC.
- Занимались анализом защищённости веб и мобильных приложений.
- Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические).
- Умеете обращаться с популярными Open Source SAST-, DAST-, SCA-инструментами.
- Внятно изъясняетесь на Bash, Python или Go, SQL.
Будет плюсом, если вы
- Понимаете из чего состоят современные нагруженные веб-приложения.
- Ориентируетесь в K8s, CI/CD и работали над безопасностью в каких-то их вариантах.
- Отличаете cherry-pick от пуржа.
Почему именно у нас
- Свежий и однородный технологический стек.
- Актуальные AppSec-инструменты и минимум бюрократии, чтобы добавлять свои.
- Интересные задачи и неравнодушные к своему делу коллеги.
