Обязанности:
Привет! Мы международная IT компания Marfatech. На рынке мы выросли от стартапа по привлечению трафика до компании с международными проектами. Мы занимаемся разработкой в сфере гейм-приложений и системами BI-аналитики. Нам нравится создавать и внедрять новые технологии максимально быстро, с минимумом бюрократии, чтобы менять IT-мир к лучшему! Ищем AppSec-инженера в подразделение продуктовой безопасности, который будет работать с продуктовыми командами и помогать делать продукты и сервисы безопасными по принципу secure-by-design.Роль предполагает участие в разработке новых фич, анализ архитектуры сервисов, внедрение практик DevSecOps и развитие культуры безопасности в разработке.AppSec-инженер - это не только про поиск уязвимостей, но и про совместную работу с командами над улучшением качества продуктов и процессов разработки. Чем предстоит заниматься: сопровождать продуктовые фичи на всём жизненном цикле производства: от бизнес-идеи до выпуска в прод проводить анализ защищённости разрабатываемых продуктов и сервисов в компании триажить результаты security сканеров работать с техдолгом по безопасности продуктовых и инфраструктурных команд участвовать в отработке инцидентов ИБ проводить консультации и обучение продуктовых команд (secure coding и другие best practices по AppSec) улучшать наши внутренние процессы Чем НЕ предстоит заниматься: формальным compliance & security-theater без реального влияния на продукт писать отчёты, которые никто не читает бороться с разработкой вместо совместной работы над безопасностью внедрять ради внедрения security-инструменты, которые никто не использует преодолевать бюрократические барьеры, чтобы реализовать инициативу Что важно для роли понимание уязвимостей веб-приложений и способов их эксплуатации и устранения опыт работы с инструментами безопасности (SAST/SCA/DAST/Container Security/IaC security и др.) опыт анализа архитектуры приложений и оценки security-рисков опыт интеграции security-инструментов в CI/CD понимание процессов SSDLC / DevSecOps Будет плюсом опыт bug bounty опыт внедрения AI Security / MLSecOps опыт внедрения AppSec-процессов в продуктовых компаниях опыт работы с облачными инфраструктурами и контейнерами Как мы работаем В команде ценятся открытые коммуникации, сотрудничество между командами и постоянное развитие экспертизы. Безопасность рассматривается как часть качества продукта, поэтому подразделение Product Security работает вместе с разработкой и бизнесом, помогая командам управлять рисками и принимать технические решения. Почему эта вакансия может быть интересна Эта позиция может быть вам близка, если вам интересно отвечать на вопросы вроде: какие реальные риски я могу подсветить команде при разработке этой фичи? какие из десятков/сотен результатов security-сканеров действительно представляют риск для продукта? как уменьшить security-техдолг продукта без бесконечных тикетов и ручного triage? какой компромисс можно найти, чтобы не блокировать фичу и не так сильно импактить на безопасность? что я ещё могу сделать, чтобы повлиять на безопасность продуктов в моей зоне ответственности? Мы предлагаем: Официальное трудоустройство в соответствии с ТК РФ; Достойный уровень заработной платы; Формат работы: офис, в дальнейшем обсуждаем гибрид; Сложные, интересные задачи; Гарантируем полное отсутствие бюрократии; Возможность карьерного роста и профессионального развития; Открытая и свободная friendly среда - у нас ты сможешь сам задавать тренды, а не следовать им; ДМС; Частичная оплата занятий спортом; 50% компенсация оплаты изучения английского языка; 10 бесплатных сессий и 50% компенсация оплаты консультаций психолога; График работы: пять дней в неделю (гибкое начало дня); 5 сикдеев в год дополнительно.Похожие вакансии
Договорная
Москва. Станции метро: Динамо, Петровский парк
Positive Technologies