В роли специалиста по безопасности приложений в объединённой команде безопасности социальных сетей у тебя будет возможность внести значительный вклад в безопасность пользователей одних из самых популярных сайтов в России — ВКонтакте и Одноклассники, а также их различных сервисов-сателлитов.
В силу сравнительно большого уровня уникальности и кастомизации технологического стека, команда безопасности решает сложные и порой нетривиальные задачи на всех этапах разработки.
Мы занимаемся ревью безопасности архитектуры и кода, проводим анализ защищённости релизов, разрабатываем и интегрируем различные инструменты для автоматизации своих задач, плотно взаимодействуем с техническими и продуктовыми командами.
Мы за постоянное развитие — поэтому активно делимся опытом и знаниями, проходим различные курсы, играем в CTF, выступаем на конференциях и т. д. Кроме профессионального роста, мы стремимся создать среду, где каждый член нашей команды чувствует себя ценным и вовлечённым. У нас развита культура взаимопомощи и поддержки, где успехи отмечаются и делаются общими.
Задачи
- Поддержка и развитие процессов безопасной разработки
- Проведение аудитов безопасности и ревью продуктовых сервисов и приложений
- Разработка продуктовых требований по безопасности
- Автоматизация рутинных задач и разработка инструментов
- Разбор отчётов в программах Bug Bounty
- Помощь разработчикам в выборе безопасных решений и написании безопасного кода
Требования
- Опыт работы в области Application Security и (или) DevSecOps от двух лет
- Понимание причин возникновения и способов устранения/митигации распространённых уязвимостей (OWASP Top 10, OWASP Mobile Top 10, CWE Top 25)
- Понимание современного цикла разработки, процессов, практик и инструментов для обеспечения безопасности приложений
- Опыт анализа защищённости веб- и мобильных приложений
- Навыки работы и выстраивания процессов с распространёнными классами инструментов DevSecOps (SAST, SCA, DAST и т. п.)
- Владение одним из языков программирования: Go, PHP, Java, JS, Python
Будет плюсом
- Навыки моделирования угроз и оценки рисков с использованием распространённых методологий (STRIDE, DREAD и т. п.)
- Знание и опыт имплементации подхода Secure By Design/Default
- Знание основ операционных систем, современных облачных технологий и систем контейнеризации, методов обеспечения безопасности (Docker, Kubernetes, AWS и др.)
- Опыт участия в Bug Bounty и CTF, наличие собственных CVE
- Наличие профильных сертификатов (OSCP, OSWE, CDP и т. п.)
- Опыт выступления на профильных конференциях и (или) написания статей
- Опыт разработки и внедрения собственных прикладных инструментов
- Хорошее понимание особенностей клиент-серверного взаимодействия, обработки запросов, аутентификации, авторизации и управления сессиями
