Команда информационной безопасности Банка Ozon ищет Application Security инженера в направление продуктовой безопасности. Платежные механики являются сердцем для всех продуктов Ozon и мы активно растем вместе рука об руку, строя самый безопасный цифровой банк для миллионов физиков и лучшие финансовые продукты для продавцов маркетплейса.
Мы активно используем лучшие практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, но вместе с тем специфика финансов не допускает многих компромиссов, поэтому мы так же строим локальную инфраструктуру и процессы, дополняющие профиль безопасности продуктов Ozon.
Вам предстоит:
- Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта)
- Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков)
- Триажить уязвимости со всевозможных сканеров и багбаунти
- Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых)
- Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной
Вы нам подходите, если:
-
Ориентируетесь в цикле безопасной разработки SSDLC
-
Занимались анализом защищённости веб и мобильных приложений
-
Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические)
-
Умеете обращаться с популярными open source SAST, DAST, SCA инструментами
- Внятно изъясняетесь на Bash, Python или Go, SQL
Будет плюсом:
- Понимаете из чего состоят современные нагруженные веб-приложения
-
Ориентируетесь в k8s, ci/cd и работали над безопасностью в каких-то их вариантах
-
Отличаете cherry-pick от пуржа
Почему именно у нас:
- Свежий и однородный технологический стек
- Актуальные appsec инструменты и минимум бюрократии, чтобы добавлять свои
- Интересные задачи и неравнодушные к своему делу коллеги
Работа в Банке Ozon — это:
- Свободная атмосфера — без лишней бюрократии, дресс-кода и вот этого всего. Каждый сотрудник может влиять на то, каким получится продукт
- Сложные B2B- и B2C-сервисы с миллионами пользователей
- Разработка без legacy-кода. Обычно мы создаём продукты практически с нуля
- Ценные знания. У руководителей наших команд огромный опыт в банкинге и IT
- Много возможностей для развития и карьерного роста. Приветствуем участие в конференциях и повышение квалификации, даём доступ к одной из крупнейших онлайн-библиотек
- Комфортный офис: шикарный вид из окна, кофе-пойнты с фруктами, уютные зоны для общения и отдыха. Частично компенсируем покупки в вендинговых автоматах, даём скидки в разных заведениях
- Надёжная страховка, внимание к здоровью. В первые недели работы оформляем ДМС со стоматологией, а во время путешествий и командировок оплачиваем страховку для выезда за границу. В офисе работают врач и психолог, дважды в неделю проходят занятия йогой. У сотрудников есть скидки на карты многих фитнес-клубов
- Современная техника. Если нужен большой монитор или мощный ноутбук — предоставим
- Гибкий подход к удалёнке. Если руководитель не против и качество работы на должном уровне, можно работать из дома всегда или время от времени.
