Обязанности:
Ozon Банк — это отдельная часть Ozon, где тесно переплетается всё, что связано с финансами и IT. Платежные механики являются сердцем для всех продуктов Ozon и мы активно растем вместе рука об руку, строя самый безопасный цифровой банк для миллионов пользователей, и лучшие финансовые продукты для продавцов маркетплейса. Сейчас мы в поиске инициативного стажера Application Security инженера в команду информационной безопасности Ozon Банка, в направление продуктовой безопасности. Стажировка оплачиваемая, проходит в Москве или Санкт-Петербурге, в офисе компании, график работы гибридный. Официальное оформление (срочный трудовой договор). Мы активно используем лучшие практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, но вместе с тем специфика финансов не допускает многих компромиссов, поэтому мы так же строим локальную инфраструктуру и процессы, дополняющие профиль безопасности продуктов Ozon. вам предстоит: Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта) Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков) Триажить уязвимости со всевозможных сканеров и багбаунти Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых) Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной вы нам подходите, если: Ориентируетесь в цикле безопасной разработки SSDLC Занимались анализом защищённости веб и мобильных приложений Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические) Умеете обращаться с популярными open source SAST, DAST, SCA инструментами Внятно изъясняетесь на Bash, Python или Go, SQL будет плюсом: Понимаете из чего состоят современные нагруженные веб-приложения Ориентируетесь в k8s, ci/cd и работали над безопасностью в каких-то их вариантах Отличаете cherry-pick от пуржа почему именно у нас: Свежий и однородный технологический стек Актуальные appsec инструменты и минимум бюрократии, чтобы добавлять свои Интересные задачи и неравнодушные к своему делу коллегиПохожие вакансии