Инженер по информационной безопасности, AppSec

На сегодняшний день трудно представить какой-либо большой бизнес без сплочённой и компетентной команды информационной безопасности. Ozon не исключение.

Сейчас мы находимся в поиске нового коллеги в команду Продуктовой безопасности, который пополнит уже существующую команду и будет участвовать в процессах безопасной разработки.

Вам предстоит:

• Работать с инструментами SAST/DAST/SCA;
• Внедрять OSA/SCA/DAST -решения;
• Тестировать безопасность, сопровождать уязвимости, автоматизировать процессы SSDLC;
• Разрабатывать правила для автоматизированных средств идентификации уязвимостей (SAST/DAST и т.д.);
• Консультировать команды разработки по вопросам безопасности;
• Работать с BugBounty-программой.

Мы ожидаем:

• Понимание цикла безопасной разработки ПО (Secure SDLC);
• Практический опыт анализа приложений;
• Понимание причин возникновения и принципов эксплуатации уязвимостей;
• Понимание принципов устранения основных угроз из OWASP Top 10, CWE Top 25;
• Опыт проведения моделирования угроз;
• Опыт проведения security code review;
• Использование Linux на уровне уверенного пользователя;
• Знакомство со стандартами безопасности в области разработки ПО (OWASP/MITRE/BSIMM).

Будет плюсом:

• Опыт работы с GitLab CI/CD;
• Работа с контейнеризацией (K8S, Docker);
• Опыт в тестировании безопасности мобильных приложений;
• Опыт использования SAST;
• Знание go/python/С#/javascript;
• CTF/Standoff/участие в BugBounty программах.

Мы предлагаем:

• Динамичный и быстроразвивающийся бизнес, ресурсы, возможность сделать вместе лучший продукт на рынке e-commerce;
• Свободу действий в принятии решений;
• Достойный уровень заработной платы;
• Профессиональную команду, которой мы гордимся;
• Возможность развиваться вместе с нашим бизнесом.