Обязанности:
О компании: Мы создаем единую систему цифровой маркировки и прослеживания товаров в России и странах ЕАЭС. Наша система позволяет снизить уровень контрафакта и гарантировать подлинность товаров, производимых в стране или ввозимых в нее. Честный Знак - одна из самых высоконагруженных платформ, которой нет аналогов: — микросервисная архитектура на Kubernetes с Istio в нашей собственной инфраструктуре; — петабайты живых данных, с которыми круглосуточно работают наши сервисы и клиенты через API; — миллиарды транзакций в день и десятки тысяч запросов в секунду; — аналитика в реальном времени на потоках событий и масштабная батчевая аналитика по ночам; — мобильное приложение с 27+ миллионов установок; — десятки релизов в продакшн каждый день, feature flags, инфраструктура как код. Под капотом — Kafka, Cassandra, Spark, Airflow, Iceberg, ClickHouse, GitLab CI/CD, Helm, Prometheus, Grafana. Мы не боимся сложных задач и запускаем в продакшн смелые инженерные идеи! О команде: Команда отвечает за построение процессов application security. Чем предстоит заниматься: Оценка архитектурных и бизнес-решений на ранних этапах разработки для выявления и предотвращения рисков информационной безопасности. Обеспечение безопасности на ранних этапах разработки в рамках Secure SDLC (SAST, SCA): проведение триажа уязвимостей, включая консультирование команд разработки по устранению уязвимостей и/или минимизации рисков; сопровождение выявленных уязвимостей от регистрации до закрытия: включая ревью предложенных исправлений и подтверждение их принятия в основную ветку разработки; проведение исследований и оценка новых инструментов безопасности при необходимости их внедрения. Внедрение, улучшение и сопровождение практик AppSec в процессах проектирования разработки, а также продвижение принципа «Security by design». Участие в реагировании на инциденты. От успешного кандидата мы ожидаем: Опыт работы в качестве специалиста по безопасности приложений (AppSec) от 3 лет. Умение писать и читать код на популярных языках (Java, Kotlin, Python, JS, Go) — для анализа уязвимостей, автоматизации и совместной работы с разработчиками. Знание архитектуры веб- и мобильных приложений с фокусом на типичные векторы атак и защитные механизмы. Опыт работы с инструментами автоматизированного анализа безопасности: SAST: Svace\ Semgrep\CodeQL; Secret Scanning (сканирование на наличие секретов в коде): TruffleHog; OSA\SCA (анализ уязвимостей в зависимостях): Codescoring; ASOC (управление результатами сканирования): DefectDojo. Опыт работы с инструментальным стеком разработки: Jira, Gitlab, Harbor, Nexus, Rancher, Kubernetes, Vault, FreeIpa, Keycloak. Опыт работы с системами автоматической сборки: Maven, Gradle, Sbt, Bazel. Знание ключевых рисков безопасности веб-приложений (OWASP Top 10, CWE Top 25) и практик безопасной разработки (Secure SDLC, threat modeling, defense in depth). Почему именно мы: Возможности для развития Участие в митапах и конференциях: делимся знаниями и учимся у других. Внутренние корпоративные тренинги. Buddy-поддержка: путеводитель в корпоративную жизнь компании. Заботимся о сотрудниках Здоровье: ДМС (включая стоматологию) после испытательного срока, 100% оплата больничных (до 14 дней в год), полис путешественника, корпоративные психологи. Материальная помощь в сложных жизненных ситуациях. Кафетерий льгот: не только на спорт и обучение, но и ИТ-сервисы, расширение ДМС для семьи. Удобство и комфорт Оформление по ТК РФ в аккредитованной ИТ-компании. Работай удаленно из любой точки России, в гибридном формате или из офиса в центре Москвы/Петербурга (рядом с метро). Гибкое начало рабочего дня. Выдаем рабочую технику: ноутбук, монитор, гарнитура — всё для продуктивной работы. Жизнь в компании Открытая культура общения. Спорт: футбол, волейбол, йога — вариантов много, выбирай или создай свое комьюнити! Воркшопы, праздники для детей, книжный клуб — скучно не будет. Стильный мерч, который хочется носить. Реферальная программа: приводи друзей и получай бонусы. Если ты хочешь расти профессионально, работать с классными людьми и при этом чувствовать заботу — ждем в нашей команде!Похожие вакансии