Application Security Engineer

В роли специалиста по безопасности приложений в объединённой команде безопасности социальных сетей у тебя будет возможность внести значительный вклад в безопасность пользователей одних из самых популярных сайтов в России — ВКонтакте и Одноклассники, а также их различных сервисов-сателлитов.

В силу сравнительно большого уровня уникальности и кастомизации технологического стека, команда безопасности решает сложные и порой нетривиальные задачи на всех этапах разработки.

Мы занимаемся ревью безопасности архитектуры и кода, проводим анализ защищённости релизов, разрабатываем и интегрируем различные инструменты для автоматизации своих задач, плотно взаимодействуем с техническими и продуктовыми командами.

Мы за постоянное развитие — поэтому активно делимся опытом и знаниями, проходим различные курсы, играем в CTF, выступаем на конференциях и так далее. Кроме профессионального роста, мы стремимся создать среду, где каждый член нашей команды чувствует себя ценным и вовлечённым. У нас развита культура взаимопомощи и поддержки, где успехи отмечаются и делаются общими.

Задачи

• Поддержка и развитие процессов безопасной разработки.
• Проведение аудитов безопасности и ревью продуктовых сервисов и приложений.
• Разработка продуктовых требований по безопасности.
• Автоматизация рутинных задач и разработка инструментов.
• Разбор отчётов в программах Bug Bounty.
• Помощь разработчикам в выборе безопасных решений и написании безопасного кода.

Требования

• Опыт работы в области Application Security и (или) DevSecOps от двух лет.
• Понимание причин возникновения и способов устранения/митигации распространённых уязвимостей (OWASP Top 10, OWASP Mobile Top 10, CWE Top 25).
• Понимание современного цикла разработки, процессов, практик и инструментов для обеспечения безопасности приложений.
• Опыт анализа защищённости веб- и мобильных приложений.
• Навыки работы и выстраивания процессов с распространёнными классами инструментов DevSecOps (SAST, SCA, DAST и т. п.).
• Владение одним из языков программирования: Go, PHP, Java, JS, Python.

Будет плюсом

• Навыки моделирования угроз и оценки рисков с использованием распространённых методологий (STRIDE, DREAD и т. п.).
• Знание и опыт имплементации подхода Secure By Design/Default.
• Знание основ операционных систем, современных облачных технологий и систем контейнеризации, методов обеспечения безопасности (Docker, Kubernetes, AWS и т. д.).
• Опыт участия в Bug Bounty и CTF, наличие собственных CVE.
• Наличие профильных сертификатов (OSCP, OSWE, CDP и т. п.).
• Опыт выступления на профильных конференциях и (или) написания статей.
• Опыт разработки и внедрения собственных прикладных инструментов.
• Хорошее понимание особенностей клиент-серверного взаимодействия, обработки запросов, аутентификации, авторизации и управления сессиями.