Application Security инженер, Ozon Банк

Работодатель:
Опыт работы:
От 3 до 6 лет
Место работы:
Москва, Пресненская набережная, 10блокС

Команда информационной безопасности Ozon Банка ищет Application Security инженера в направление продуктовой безопасности. Платежные механики являются сердцем для всех продуктов Ozon и мы активно растем вместе рука об руку, строя самый безопасный цифровой банк для миллионов пользователей, и лучшие финансовые продукты для продавцов маркетплейса.

Мы активно используем лучшие практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, но вместе с тем специфика финансов не допускает многих компромиссов, поэтому мы так же строим локальную инфраструктуру и процессы, дополняющие профиль безопасности продуктов Ozon.

вам предстоит:

  • Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта)
  • Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков)
  • Триажить уязвимости со всевозможных сканеров и багбаунти
  • Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых)
  • Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной

вы нам подходите, если:

  • Ориентируетесь в цикле безопасной разработки SSDLC

  • Занимались анализом защищённости веб и мобильных приложений

  • Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические)

  • Умеете обращаться с популярными open source SAST, DAST, SCA инструментами

  • Внятно изъясняетесь на Bash, Python или Go, SQL

будет плюсом:

  • Понимаете из чего состоят современные нагруженные веб-приложения
  • Ориентируетесь в k8s, ci/cd и работали над безопасностью в каких-то их вариантах

  • Отличаете cherry-pick от пуржа

почему именно у нас:

  • Свежий и однородный технологический стек
  • Актуальные appsec инструменты и минимум бюрократии, чтобы добавлять свои
  • Интересные задачи и неравнодушные к своему делу коллеги

Похожие вакансии

Старший менеджер по работе с Ozon
Серова Александра Андреевна

Опыт работы с Ozon/WB от 2 лет. Уверенное владение аналитикой продаж и юнит-экономикой. Опыт управления ассортиментом и рекламой...

150 000 руб.
Ведущий сетевой инженер ЦОД Софтлайн
Softline

Глубокое понимание сетевых технологий и протоколов (TCP/IP, модель OSI, L2/L3 сегментация, VLAN, маршрутизация). ️ Практический опыт проектирования...

Инженер генплана
Национальные канатные дороги

Имеете высшее образование по направлению «Промышленное и гражданское строительство» или смежным специальностям. Опыт работы от 5 лет в проектировании раздела...

200 000 руб.
DWH Аналитик / DWH Инженер
Фомин Сергей Александрович

Ты имеешь коммерческий опыт от 4 лет в ролях DWH Analyst или DWH Engineer и понимаешь полный цикл работы с...

250 000 руб.
DevOps-инженер
Фомин Сергей Александрович

Ты имеешь коммерческий опыт работы в роли DevOps от 4 лет. Ты уверенно владеешь контейнеризацией и оркестрацией: имеешь продвинутый опыт...

250 000 руб.