О Пассворке Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций. Безопасность лежит в основе продукта. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), поддерживаем двухфакторную аутентификацию, гибкое разграничение прав доступа и безопасный обмен секретами. В продукте — браузерное расширение, мобильные приложения и интеграции с корпоративной инфраструктурой. Наш стек: Backend: PHP, Symfony, MongoDB, PostgreSQL, REST API; Web: TypeScript, React; Mobile: React Native (iOS и Android); Интеграции и SDK: TypeScript и Python. Процессы безопасной разработки уже выстроены: анализ кода, контроль зависимостей, тестирование безопасности. Ищем специалиста, который возьмёт на себя безопасность продукта и будет развивать эти процессы дальше. О роли Мы ищем инженера по безопасной разработке, который станет внутренним экспертом по безопасности продукта и будет участвовать во всех этапах его создания — от проектирования новых функций до анализа уязвимостей и развития процессов SDLC. Это не роль администратора безопасности, специалиста по соответствию стандартам или SOC-аналитика. Главная задача — сделать безопасность частью процесса разработки: помогать команде принимать правильные архитектурные решения, выявлять потенциальные риски до начала разработки и предотвращать появление уязвимостей ещё на этапе проектирования. Что мы предлагаем Мы ценим своих сотрудников и стремимся создать комфортные условия для всех: гибкий рабочий график, удалённый формат работы, дружескую атмосферу в коллективе, свободный дресс-код и уютные офисы в Архангельске и Санкт-Петербурге. Работа удаленно или в офисе — ты сам выбираешь удобный формат. График. С 10:00 до 18:00 по МСК. Компенсация курсов и занятий спортом. Частично возмещаем оплату языковых курсов и занятий спортом, полностью компенсируем профессиональные курсы. Официальное оформление. Оформляем по ТК РФ в штат. Аккредитация IT компании. Дает дополнительные преимущества для сотрудников. Неформальное общение и отсутствие бюрократии. Общаемся на «ты» и строим горизонтальные связи — можно легко написать любому человеку в команде. Рост и влияние на культуру. Развиваешь процессы безопасной разработки и формируешь культуру безопасности внутри команды. Задачи на стыке разработки, криптографии и архитектуры. Не узкая специализация, а широкий технический контекст. Условия и ожидания Обязанности Участвовать в проектировании новых функций и архитектурных решений, формировать требования безопасности на этапе проектирования. Участвовать в развитии криптографической архитектуры: анализировать схемы шифрования, управление ключами и механизмы хранения и обмена секретами. Поддерживать актуальность криптографической документации. Консультировать и обучать разработчиков, участвовать в разработке внутренних стандартов и рекомендаций. Проверять безопасность веб-приложения, API, мобильных приложений и браузерного расширения, включая механизмы аутентификации, авторизации и разграничения доступа. Анализировать результаты автоматических проверок, проводить триаж, сопровождать процессы устранения уязвимостей. Взаимодействовать с внешними исследователями безопасности, сопровождать программу Bug Bounty, участвовать в разборе инцидентов. Сопровождать и развивать инструменты анализа безопасности, настраивать правила проверок, внедрять новые практики и инструменты. Опыт и навыки Опыт работы в области Application Security или безопасной разработки от 3 лет. Опыт участия в проектировании безопасной архитектуры приложений. Практический опыт моделирования угроз и анализа безопасности веб-приложений и API. Понимание принципов безопасной разработки, аутентификации, авторизации и разграничения доступа. Понимание принципов современной криптографии и управления ключами. Умение читать код как минимум на одном из языков: PHP, TypeScript/JavaScript или Python. Умение объяснять технические риски разработчикам и другим участникам команды простым и понятным языком. Будет плюсом Опыт работы с продуктами, использующими клиентское шифрование или модель Zero Knowledge. Опыт участия в Bug Bounty программах или проведения внутренних пентестов. Опыт работы с мобильными приложениями и браузерными расширениями. Понимание принципов защиты Kubernetes и облачной инфраструктуры. Наличие профильных сертификатов в области информационной безопасности. Софт навыки Системное мышление. Оцениваешь влияние архитектурных решений на безопасность продукта, видишь взаимосвязи между компонентами и заранее замечаешь потенциальные риски. Самостоятельность. Берёшь ответственность за безопасность продукта, умеешь принимать решения и доводить инициативы до результата без постоянного контроля. Аргументация. Обосновываешь рекомендации фактами, анализом рисков и лучшими практиками, умеешь объяснять сложные технические вопросы разработчикам и другим участникам команды. Внимание к деталям. Замечаешь потенциальные уязвимости, противоречия и слабые места ещё до того, как они становятся проблемой для команды. Стремление к развитию. Следишь за современными подходами в Application Security, криптографии и безопасной разработке, постоянно расширяя свои знания. Этапы отбора Интервью с HR Интервью с CTO Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью. Присоединяйся к команде, которая делает лучший продукт в своей сфере!
Похожие вакансии
Инженер по безопасной разработке (AppSec / DevSecOps)
Договорная
Москва
Центр Биометрических Технологий