AppSec-инженер

Привет! Мы международная IT компания Marfatech.
На рынке мы выросли от стартапа по привлечению трафика до компании с международными проектами. Мы занимаемся разработкой в сфере гейм-приложений и системами BI-аналитики. Нам нравится создавать и внедрять новые технологии максимально быстро, с минимумом бюрократии, чтобы менять IT-мир к лучшему!
Ищем AppSec-инженера в подразделение продуктовой безопасности, который будет работать с продуктовыми командами и помогать делать продукты и сервисы безопасными по принципу secure-by-design.
Роль предполагает участие в разработке новых фич, анализ архитектуры сервисов, внедрение практик DevSecOps и развитие культуры безопасности в разработке.
AppSec-инженер - это не только про поиск уязвимостей, но и про совместную работу с командами над улучшением качества продуктов и процессов разработки.
Чем предстоит заниматься:
• сопровождать продуктовые фичи на всём жизненном цикле производства: от бизнес-идеи до выпуска в прод
• проводить анализ защищённости разрабатываемых продуктов и сервисов в компании
• триажить результаты security сканеров
• работать с техдолгом по безопасности продуктовых и инфраструктурных команд
• участвовать в отработке инцидентов ИБ
• проводить консультации и обучение продуктовых команд (secure coding и другие best practices по AppSec)
• улучшать наши внутренние процессы
Чем НЕ предстоит заниматься:
• формальным compliance & security-theater без реального влияния на продукт
• писать отчёты, которые никто не читает
• бороться с разработкой вместо совместной работы над безопасностью
• внедрять ради внедрения security-инструменты, которые никто не использует
• преодолевать бюрократические барьеры, чтобы реализовать инициативу
Что важно для роли
• понимание уязвимостей веб-приложений и способов их эксплуатации и устранения
• опыт работы с инструментами безопасности (SAST/SCA/DAST/Container Security/IaC security и др.)
• опыт анализа архитектуры приложений и оценки security-рисков
• опыт интеграции security-инструментов в CI/CD
• понимание процессов SSDLC / DevSecOps
Будет плюсом
• опыт bug bounty
• опыт внедрения AI Security / MLSecOps
• опыт внедрения AppSec-процессов в продуктовых компаниях
• опыт работы с облачными инфраструктурами и контейнерами
Как мы работаем
В команде ценятся открытые коммуникации, сотрудничество между командами и постоянное развитие экспертизы. Безопасность рассматривается как часть качества продукта, поэтому подразделение Product Security работает вместе с разработкой и бизнесом, помогая командам управлять рисками и принимать технические решения. Почему эта вакансия может быть интересна
Эта позиция может быть вам близка, если вам интересно отвечать на вопросы вроде:
• какие реальные риски я могу подсветить команде при разработке этой фичи?
• какие из десятков/сотен результатов security-сканеров действительно представляют риск для продукта?
• как уменьшить security-техдолг продукта без бесконечных тикетов и ручного triage?
• какой компромисс можно найти, чтобы не блокировать фичу и не так сильно импактить на безопасность?
• что я ещё могу сделать, чтобы повлиять на безопасность продуктов в моей зоне ответственности?
Мы предлагаем:
• официальное трудоустройство в соответствии с ТК РФ;
• достойный уровень заработной платы;
• удаленный формат работы;
• сложные, интересные задачи;
• полное отсутствие бюрократии;
• возможность карьерного роста и профессионального развития;
• открытую и свободную среду - у нас ты сможешь сам задавать тренды, а не следовать им;
• ДМС;
• частичную оплату занятий спортом;
• 50% компенсацию оплаты изучения английского языка;
• 10 бесплатных сессий и 50% компенсацию оплаты консультаций психолога;
• график работы: пять дней в неделю (гибкое начало дня);
• 5 сикдеев в год дополнительно.