Playerok — это маркетплейс цифровых товаров и услуг. Мы соединяем покупателей и продавцов, берём на себя безопасность сделки и запускаем собственные продукты. Строим масштабный бизнес на быстрорастущем рынке, на стыке гейминга, финтеха и e-commerce.
Мы ищем DevSecOps-инженера с фокусом на продуктовую безопасность, который возьмёт безопасность маркетплейса с миллионами пользователей под собственный контроль. Ты будешь не только встраивать защиту в CI/CD и инфраструктуру, но и сам искать уязвимости в нашем коде и API - раньше, чем это сделают внешние пентестеры.
Круто если ты умеешь читать чужой код глазами атакующего, превращать единичные находки в процессы, которые не дают им повториться и уверенно коммуницируешь с разработчиками и с инфра-командой.
Чем придется заниматься:
• Закрывать уязвимости платформы по приоритезированному бэклогу - мы хотим, чтобы за их разбором стоял отдельный человек, который видит картину целиком, а не точечно затыкает дыры
• Самостоятельно искать новые уязвимости в продукте: ручное и полу-автоматизированное тестирование GraphQL, REST, WebSocket, веб-интерфейсов; проактивная охота на баги
• Встроить security в CI/CD - это пока отсутствует и должно стать блокерами в пайплайне
• Управление секретами - активное внедрение Vault
• Провести аудит публичной части - какие сервисы торчат наружу, какие должны быть строго за Netbird
• Особое внимание к денежной части
• Внедрить и поддерживать матрицу прав доступа
• Owner security-инцидентов: ранбуки, post-mortem'ы, action items
• Работать в связке с командой инфраструктуры и разработкой
Нам важно:
• Опыт в app/product security или DevSecOps от 5 лет в продуктовой компании
• Опыт с продуктом, где деньги бегают через систему: маркетплейсы, банкинг, платёжные системы - понимание рисков двойных списаний, race conditions, fraud
• Активный поиск уязвимостей: ты не просто реагируешь на отчёты пентестеров, но сам приносишь находки до того, как они окажутся во внешнем отчёте
• Опыт с современным security-tooling, постоянное самообучение
• Опыт построения security с нуля в условиях продакшена без maintenance windows
Будет плюсом
• Опыт чтения TypeScript / Nest.JS / React кода
• Опыт с GraphQL
• Опыт с Cloudflare / DDoS Guard, WAF-правилами, runtime monitoring
Что предлагаем
-
Удаленный формат сотрудничества.
-
300 000 руб — стартовая вилка, итоговая сумма обсуждается по опыту.
-
Возможность выбрать форму сотрудничества и оплаты (все налоги — наша забота).
-
Онбординг-квест — не бросим в бой без подготовки, введем в курс дела и подключим к команде.
-
Занятость 5/2 с 8-часовым рабочим днем.
-
Команда профи — работаешь с инициативными и увлеченными коллегами.
-
Пауза на восстановление — «перезагрузиться» можно в оплачиваемом отпуске или на больничном.
Откликайся на вакансию — это первый шаг к тому, чтобы стать частью команды, которая меняет правила игры. Ваш ход! 🎮
Похожие вакансии
Знание Kubernetes/Docker, включая Namespaces, Cgroups, Admission Webhooks. Практический опыт настройки runtime-защиты (SecurityContext, Capabilities). Опыт построения пайплайнов Jenkins/GitLab...
Self Managed k8s, Ingress Nginx. Kafka, Redis, MySQL, ClickHouse. Neuvector, Casdoor, OpenSearch, PostgreSQL. SemGrep, Owasp ZAP, Burp Suite.
Опыт работы в области DevSecOps от двух лет. Понимание SSDLC и современных угроз информационной безопасности. Опыт внедрения SAST, DAST, SCA...
Знание ElasticSearch будет большим плюсом. Знание сетевых технологий, опыт построения высоконагруженных отказоустойчивых систем. 5 лет опыта администрирования Windows/Linux систем.
Kubernetes, Helm, Terraform / Ansible. 4–6+ лет в DevSecOps / Security или 5+ лет в DevOps с фокусом на...