Привет! Мы — команда «Золотого Яблока», увлеченная своим делом. У нас нет места стандартам, мы ищем смелых и амбициозных, готовых воплощать свои идеи в жизнь на всю Россию и не только. Если ты горишь желанием изменить beauty-индустрию, ты наш человек!
Мы ищем AppSec-инженера в Департамент кибербезопасности e-commerce.
Это широкая AppSec-роль: ты работаешь не только руками в режиме пентеста, но и проектируешь - разбираешь архитектуру сервисов, строишь модели угроз, ревьюишь код, формируешь требования к безопасной разработке и сопровождаешь их до внедрения. Команда сейчас растет, и ты приходишь не «доделывать» или «сопровождать», а строить процесс AppSec вместе с руководителем и инженерами.
Что нужно делать:
- Проверять безопасность сервисов, приложений, архитектуры, новых фич - и сопровождать внедрение мер по устранению выявленных рисков
- Давать рекомендации по построению безопасной архитектуры, описывать целевую архитектуру по лучшим практикам (в т.ч. OWASP)
- Анализировать код разрабатываемых компанией сервисов на наличие уязвимостей
- Проводить аудит безопасности необходимых сред и приложений (web, API, mobile)
- Проводить аудит и тестирование программ лояльности на предмет безопасности и возможных злоупотреблений, включая анализ бизнес-логики
- Составлять отчеты по результатам аудитов, заводить задачи в Jira с рекомендациями, сопровождать их до закрытия и перепроверки, контролировать недопущение роста технического долга безопасности
- Строить и поддерживать в актуальном состоянии модели угроз по закрепленным сервисам
- Составлять рекомендации по улучшению автоматических сканеров анализа уязвимостей (совместно с DevSecOps)
- Анализировать уязвимости, поступающие по программе bug bounty: триаж, оценка, рекомендации
- Оказывать теоретическую и практическую помощь младшим специалистам команды, участвовать в их обучении и передаче экспертизы
Что ждём от кандидата:
- Коммерческий опыт работы в AppSec / анализе защищённости от 2 лет
- Глубокие знания web-технологий, понимание архитектуры микросервисных приложений
- Понимание природы уязвимостей из OWASP Top 10 и OWASP Mobile Top 10 и умение их эксплуатировать
- Умение работать с инструментами: nmap, BurpSuite, ZAP, MSF, SQLmap, nuclei, mobsf, gobuster и другими. Способность объяснить, как они работают в "боевом" режиме
- Опыт построения моделей угроз (STRIDE / threat modeling) и ревью архитектуры
- Опыт анализа кода (Code Review с точки зрения безопасности) хотя бы на одном из распространенных стеков
- Опыта тестирования на проникновение веб-приложений, мобильных приложений и API от 1 года
- Знаний принципов работы средств защиты информации (WAF и решений на уровне сервиса)
- Умение обходить защиту на уровне приложений и средств защиты информации
Будет преимуществом:
- Опыт работы в e-commerce, fintech или маркетплейсах (понимание рисков платежей, авторизации, бонусных систем, программ лояльности)
- Понимание инфраструктурных уязвимостей
- Навыки работы со скриптами (Python, Bash) для автоматизации тестов
- Наличие профильных сертификатов
- Успешный опыт участия в CTF
- Высшее образование в сфере ИБ или ИТ
Почему с нами хорошо:
- Персональное предложение по заработной плате и официальное трудоустройство, мы за прозрачность и честность
- График работы: 5/2. Работа в офисе компании в г. Екатеринбург
- ДМС со стоматологией, потому что мы заботимся о твоем здоровье
- Помощь карьерного консультанта для выбора индивидуального направления развития
- Работа в аккредитованной IT компании
- Штаб-квартира в центре Екатеринбурга с собственным баром, зонами для отдыха, амфитеатром и садом из финиковых пальм, папоротников и гигантских фикусов
- Частичная компенсация питания при работе из офиса
- Открытый диалог с топ-менеджерами и дружный коллектив — база нашей культуры
- Изучение английского языка, компенсация обучений и участие в конференциях, чтобы ты рос вместе с компанией
- Корпоративная скидка в «Золотое Яблоко», а еще бонусы и акции от партнеров
- Масштабные корпоративы, книжные и спортивные сообщества, small talk и множество других неформальных встреч
- Никаких ограничений по дресс-коду и внешнему виду. Мы уважаем твою индивидуальность!
Присоединяйся к нам — вместе мы создадим будущее beauty-мира!
