Инженер по безопасности приложений

О роли:

Мы ищем инженера по безопасности приложений, который поможет нашим продуктовым командам создавать и выпускать продукты с изначально встроенной безопасностью. В этой роли вы будете тесно сотрудничать с инженерными командами для раннего выявления рисков, укрепления практик безопасного проектирования и кодирования, а также для обеспечения возможности безопасного выпуска функций без создания ненужных препятствий.

Это практическая роль в области безопасности приложений для человека, который может самостоятельно вести регулярную работу по безопасности в нескольких командах. Вы должны быть уверены в проверке архитектуры и кода, валидации обнаруженных проблем, руководстве по их устранению и предоставлении практических рекомендаций, которые учитывают баланс между безопасностью, приоритетами продукта и скоростью доставки.

Ваш вклад:

• Ведение регулярных мероприятий по безопасности приложений для нескольких продуктовых команд, включая обзоры безопасного проектирования, моделирование угроз, обзор кода, проверку тестирования и руководство по устранению уязвимостей.
• Оценка уязвимостей и результатов сканеров, тестирования, отчетов об ошибках и внутренних проверок; умение отличать значимые риски от шума и помогать командам сосредоточиться на самых важных вопросах.
• Валидация исправлений безопасности и рекомендации компенсирующих мер или практических альтернатив, когда идеальное устранение невозможно сразу.
• Улучшение повседневных рабочих процессов AppSec путем настройки проверок, уточнения правил, повышения качества триажа и более эффективной интеграции безопасности в рабочие процессы разработчиков и CI/CD пайплайны.
• Помощь инженерам в понимании проблем безопасности в практическом контексте продукта путем предоставления четкой приоритизации и действенных рекомендаций по устранению.
• Вклад в практики разработки с изначально встроенной безопасностью путем укрепления стандартов, эталонных шаблонов и ожиданий по обзорам.
• Использование структурированных AI-рабочих процессов для поддержки сложного анализа безопасности приложений, такого как обзор более широкой кодовой базы, декомпозиция дизайна, подготовка к обзорам и синтез документации, при этом соблюдая четкие ограничения по гигиене запросов и контекста, человеческому контролю и качеству результатов.

Ваши квалификации:

• Глубокие практические знания распространенных проблем безопасности веб и API, концепций аутентификации и управления сессиями, работы с секретами и основ безопасного кодирования.
• Подтвержденный опыт проведения безопасных обзоров кода в современных инженерных средах, особенно на Java, TypeScript и PHP, с умением ясно объяснять уязвимости и сотрудничать для эффективного их устранения.
• Опыт руководства или фасилитации регулярного моделирования угроз для продуктовых функций или сервисов и преобразования результатов в конкретные требования по безопасности.
• Опыт управления инструментами безопасности приложений, такими как SAST, SCA, DAST и решения для сканирования секретов, а также платформами bug bounty, с акцентом на интеграцию с CI/CD, снижение ложных срабатываний и повышение качества сигналов.
• Рабочие знания OAuth/OIDC, аутентификации сервис-сервис, управления секретами и базовых концепций безопасности облаков или контейнеров.
• Способность приоритизировать находки на основе возможности эксплуатации, степени воздействия, бизнес-значимости и усилий по устранению, а не только на основе уровней серьезности.
• Сильные навыки письменного и устного общения, способность эффективно работать с инженерами, техническими лидерами и заинтересованными сторонами продукта.
• Здравый смысл при использовании AI-поддерживаемых рабочих процессов, рассматривая AI как помощника, а не авторитет, и проверяя корректность, возможность эксплуатации и бизнес-контекст перед принятием мер.

Особые качества:

• Опыт создания автоматизаций AppSec, улучшения рабочих процессов разработчиков или настройки средств безопасности в CI/CD средах.
• Опыт предоставления практических рекомендаций по безопасному кодированию или проведения легких внутренних тренингов по безопасности.
• Опыт работы с системами, чувствительными к вопросам конфиденциальности, облачными сервисами или многосервисной архитектурой.
• Опыт поддержки безопасности функций AI/ML продуктов, систем с интегрированными моделями или управления AI-поддерживаемыми инженерными рабочими процессами.

Динамика команды:

Вы будете тесно сотрудничать с командами backend, frontend, мобильной разработки, платформы, QA и продуктовых команд ежедневно, а также взаимодействовать с коллегами из областей безопасности, инфраструктуры и соответствия требованиям. Успех в этой роли потребует построения доверительных отношений с инженерами, четкой коммуникации и преобразования проблем безопасности в практические рекомендации, которые команды смогут быстро принять.

Наш стиль работы:

Это совместная, практическая роль, встроенная в жизненный цикл разработки программного обеспечения. Вы будете тесно работать с продуктовыми и инженерными командами, чтобы интегрировать безопасность в процессы проектирования, разработки и доставки, помогая создавать решения с изначально встроенной безопасностью без замедления работы команд.

Вы будете использовать комбинацию практик безопасного обзора, моделирования угроз, инструментов AppSec, интеграций CI/CD и структурированного AI-поддерживаемого анализа для поддержки принятия высококачественных решений по безопасности. Особую значимость этой роли придает возможность влиять как на безопасность продукта, так и на опыт разработчиков в масштабе, помогая командам быстро двигаться вперед, создавая при этом безопасные решения.

Почему стоит присоединиться к Wrike?

• 5 недель оплачиваемого отпуска
• Компенсация больничных
• Отпуск по уходу за ребенком (полностью оплачиваемый): 18 недель по беременности и родам / 4 недели по уходу за отцом
• Гибридная модель работы