Инженер по безопасности приложений

О роли:

Мы ищем инженера по безопасности приложений, который поможет нашим продуктовым командам создавать и выпускать продукты с изначально встроенной безопасностью. В этой роли вы будете тесно сотрудничать с инженерными командами для раннего выявления рисков, укрепления практик безопасного проектирования и кодирования, а также для обеспечения возможности безопасного выпуска функций без создания ненужных препятствий.

Это практическая роль в области безопасности приложений для человека, который может самостоятельно вести регулярную работу по безопасности в нескольких командах. Вы должны быть уверены в обзоре архитектуры и кода, проверке обнаруженных проблем, руководстве по их устранению и предоставлении практических рекомендаций, которые учитывают баланс между безопасностью, приоритетами продукта и скоростью доставки.

Ваш вклад:

• Ведение регулярных мероприятий по безопасности приложений для нескольких продуктовых команд, включая обзоры безопасного проектирования, моделирование угроз, обзор кода, проверку тестирования и руководство по устранению уязвимостей.
• Оценка уязвимостей и результатов сканеров, тестирования, отчетов об ошибках и внутренних проверок; умение отличать значимые риски от шума и помогать командам сосредоточиться на самых важных вопросах.
• Проверка исправлений безопасности и рекомендация компенсирующих мер или практических альтернатив, когда идеальное устранение проблемы невозможно сразу.
• Улучшение повседневных рабочих процессов AppSec путем настройки проверок, уточнения правил, повышения качества триажа и более эффективной интеграции безопасности в рабочие процессы разработчиков и CI/CD пайплайны.
• Помощь инженерам в понимании проблем безопасности в практическом контексте продукта путем предоставления четкой приоритизации и действенных рекомендаций по устранению.
• Вклад в практики разработки с изначально встроенной безопасностью путем укрепления стандартов, эталонных шаблонов и ожиданий по обзорам.
• Использование структурированных AI-рабочих процессов для поддержки сложного анализа безопасности приложений, такого как обзор более широкого кода, декомпозиция дизайна, подготовка к обзорам и синтез документации, при этом поддерживая четкие рамки по гигиене запросов и контекста, человеческому контролю и качеству результатов.

Ваши квалификации:

• Глубокие практические знания распространенных проблем безопасности веб и API, концепций аутентификации и управления сессиями, обработки секретов и основ безопасного кодирования.
• Подтвержденный опыт проведения обзоров безопасного кода в современных инженерных средах, особенно на Java, TypeScript и PHP, с умением ясно объяснять уязвимости и сотрудничать для эффективного устранения.
• Опыт руководства или фасилитации регулярного моделирования угроз для продуктовых функций или сервисов и преобразования результатов в конкретные требования по безопасности.
• Опыт управления инструментами безопасности приложений, такими как SAST, SCA, DAST и решения для сканирования секретов, а также платформами баг-баунти, с акцентом на интеграцию в CI/CD, снижение ложных срабатываний и повышение качества сигналов.
• Рабочие знания OAuth/OIDC, аутентификации сервис-сервис, управления секретами и базовых концепций безопасности облаков или контейнеров.
• Умение приоритизировать находки на основе возможности эксплуатации, степени воздействия, бизнес-значимости и усилий по устранению, а не только по меткам серьезности.
• Сильные навыки письменного и устного общения, способность эффективно работать с инженерами, техническими лидерами и заинтересованными сторонами продукта.
• Здравый смысл при использовании AI-поддерживаемых рабочих процессов, рассматривая AI как помощника, а не авторитет, и проверяя корректность, возможность эксплуатации и бизнес-контекст перед принятием решений.

Особые качества:

• Опыт создания автоматизаций AppSec, улучшения рабочих процессов разработчиков или настройки средств безопасности в CI/CD средах.
• Опыт предоставления практических рекомендаций по безопасному кодированию или проведения легких внутренних тренингов по безопасности.
• Опыт работы с системами, чувствительными к вопросам конфиденциальности, облачными сервисами или многосервисной архитектурой.
• Опыт поддержки безопасности функций AI/ML продуктов, систем с интегрированными моделями или управления AI-поддерживаемыми инженерными рабочими процессами.

Динамика команды:

Вы будете тесно сотрудничать с командами backend, frontend, мобильной разработки, платформы, QA и продуктовых команд ежедневно, а также взаимодействовать с коллегами из областей безопасности, инфраструктуры и соответствия требованиям. Успех в этой роли потребует построения доверительных отношений с инженерами, четкой коммуникации и перевода вопросов безопасности в практические рекомендации, которые команды смогут быстро принять.

Наш стиль работы:

Это совместная, практическая роль, встроенная в жизненный цикл разработки программного обеспечения. Вы будете тесно работать с продуктовыми и инженерными командами, интегрируя безопасность в процессы проектирования, разработки и доставки, помогая создавать решения с изначально встроенной безопасностью без замедления работы команд.

Вы будете использовать сочетание практик безопасного обзора, моделирования угроз, инструментов AppSec, интеграций CI/CD и структурированного AI-поддерживаемого анализа для поддержки принятия качественных решений по безопасности. Особую значимость этой роли придает возможность влиять как на безопасность продукта, так и на опыт разработчиков в масштабе, помогая командам быстро двигаться вперед, создавая при этом безопасные решения.

Почему стоит присоединиться к Wrike?

• 28 календарных дней оплачиваемого отпуска
• Компенсация больничных (5 оплачиваемых несертифицированных больничных дней)
• Отпуск по уходу за ребенком: 18 недель по беременности и родам / 4 недели по уходу за отцом
• 2 дня волонтерской деятельности
• Медицинская страховка (для сотрудников и их иждивенцев)
• План страхования жизни
• Компенсация коммунальных услуг (30 евро в месяц, подлежит налогообложению)
• Фитнес-план (800 евро в год)
• Полностью удаленная работа и доступ по требованию к коворкингу