Обязанности:
Привет! Мы — команда «Золотого Яблока», увлеченная своим делом. У нас нет места стандартам, мы ищем смелых и амбициозных, готовых воплощать свои идеи в жизнь на всю Россию и не только. Если ты горишь желанием изменить beauty-индустрию, ты наш человек! Мы ищем AppSec-инженера в Департамент кибербезопасности e-commerce.Это широкая AppSec-роль: ты работаешь не только руками в режиме пентеста, но и проектируешь - разбираешь архитектуру сервисов, строишь модели угроз, ревьюишь код, формируешь требования к безопасной разработке и сопровождаешь их до внедрения. Команда сейчас растет, и ты приходишь не «доделывать» или «сопровождать», а строить процесс AppSec вместе с руководителем и инженерами. Что нужно делать: Проверять безопасность сервисов, приложений, архитектуры, новых фич - и сопровождать внедрение мер по устранению выявленных рисков Давать рекомендации по построению безопасной архитектуры, описывать целевую архитектуру по лучшим практикам (в т.ч. OWASP) Анализировать код разрабатываемых компанией сервисов на наличие уязвимостей Проводить аудит безопасности необходимых сред и приложений (web, API, mobile) Проводить аудит и тестирование программ лояльности на предмет безопасности и возможных злоупотреблений, включая анализ бизнес-логики Составлять отчеты по результатам аудитов, заводить задачи в Jira с рекомендациями, сопровождать их до закрытия и перепроверки, контролировать недопущение роста технического долга безопасности Строить и поддерживать в актуальном состоянии модели угроз по закрепленным сервисам Составлять рекомендации по улучшению автоматических сканеров анализа уязвимостей (совместно с DevSecOps) Анализировать уязвимости, поступающие по программе bug bounty: триаж, оценка, рекомендации Оказывать теоретическую и практическую помощь младшим специалистам команды, участвовать в их обучении и передаче экспертизы Что ждём от кандидата: Коммерческий опыт работы в AppSec / анализе защищённости от 2 лет Глубокие знания web-технологий, понимание архитектуры микросервисных приложений Понимание природы уязвимостей из OWASP Top 10 и OWASP Mobile Top 10 и умение их эксплуатировать Умение работать с инструментами: nmap, BurpSuite, ZAP, MSF, SQLmap, nuclei, mobsf, gobuster и другими. Способность объяснить, как они работают в "боевом" режиме Опыт построения моделей угроз (STRIDE / threat modeling) и ревью архитектуры Опыт анализа кода (Code Review с точки зрения безопасности) хотя бы на одном из распространенных стеков Опыта тестирования на проникновение веб-приложений, мобильных приложений и API от 1 года Знаний принципов работы средств защиты информации (WAF и решений на уровне сервиса) Умение обходить защиту на уровне приложений и средств защиты информации Будет преимуществом: Опыт работы в e-commerce, fintech или маркетплейсах (понимание рисков платежей, авторизации, бонусных систем, программ лояльности) Понимание инфраструктурных уязвимостей Навыки работы со скриптами (Python, Bash) для автоматизации тестов Наличие профильных сертификатов Успешный опыт участия в CTF Высшее образование в сфере ИБ или ИТ Почему с нами хорошо: Персональное предложение по заработной плате и официальное трудоустройство, мы за прозрачность и честность График работы: 5/2. Работа в офисе компании в г. Екатеринбург ДМС со стоматологией, потому что мы заботимся о твоем здоровье Помощь карьерного консультанта для выбора индивидуального направления развития Работа в аккредитованной IT компании Штаб-квартира в центре Екатеринбурга с собственным баром, зонами для отдыха, амфитеатром и садом из финиковых пальм, папоротников и гигантских фикусов Частичная компенсация питания при работе из офиса Открытый диалог с топ-менеджерами и дружный коллектив — база нашей культуры Изучение английского языка, компенсация обучений и участие в конференциях, чтобы ты рос вместе с компанией Корпоративная скидка в «Золотое Яблоко», а еще бонусы и акции от партнеров Масштабные корпоративы, книжные и спортивные сообщества, small talk и множество других неформальных встреч Никаких ограничений по дресс-коду и внешнему виду. Мы уважаем твою индивидуальность! Присоединяйся к нам — вместе мы создадим будущее beauty-мира!Похожие вакансии
Application Security Engineer (AppSec)
Договорная
Екатеринбург. Станции метро: Геологическая, Площадь 1905 года, Динамо, Уральская
Центральный банк Российской Федерации (Банк России)
Специалист по информационной безопасности, AppSec
Договорная
Екатеринбург. Станции метро: Геологическая, Площадь 1905 года, Динамо, Уральская
РегЛаб
От 55 000 до 55 000 руб.
Екатеринбург. Станции метро: Геологическая, Площадь 1905 года, Динамо, Уральская
Россети Урал
От 60 000 руб.
Екатеринбург. Станции метро: Геологическая, Площадь 1905 года, Динамо, Уральская
МУП Водоканал
От 80 000 руб.
Екатеринбург. Станции метро: Геологическая, Площадь 1905 года, Динамо, Уральская
ИТР
От 130 000 руб.
Екатеринбург. Станции метро: Геологическая, Площадь 1905 года, Динамо, Уральская
Уральский завод эластомерных уплотнений