Application Security Engineer

Обязанности

Информационная безопасность это всё, что касается безопасности наших пользователей, продуктов, сетей и серверов. А также это непрерывное взаимодействие с инженерами, которые разрабатывают и поддерживают наши проекты. У нас работает самая крупная среди российских компаний программа Bug Bounty. Помимо этого, мы проводим security-митапы и поддерживаем высокий уровень специалистов в команде информационной безопасности. Мы активно усиливаем нашу команду информационной безопасности, поэтому прямо сейчас ищем инженеров Application Security. Чем предстоит заниматься: обеспечивать защиту разрабатываемых и используемых приложений компании; консультировать разработчиков и контролировать устранения выявленных уязвимостей; внедрять и поддерживать процессы безопасной разработки в продукт; проводить статический, ручной анализ кода продукта, а также другие виды анализа типа White Box. Мы ожидаем, что у вас есть: опыт работы в сфере Application Security не менее трёх лет; владение следующими языками программирования: Java, JavaScript/TypesScript; опыт тестирования безопасности мобильных приложений и автоматизации такого тестирования; уверенное понимание методологий разработки программного обеспечения и безопасных методов кодирования; знание недостатков безопасности и механизмов защиты фреймворка Spring; знание лучших практик безопасности и распространённых уязвимостей, характерных для мобильных приложений; понимание архитектурных принципов построения и работы веб-приложений; понимание стандартов и практик безопасности приложений, таких как OWASP Mobile Application Security Verification Standard (MASVS), Mobile Security Testing Guide (MSTG), Web Security Testing Guide (WSTG). Будет плюсом: владение языками программирования Swift, Objective-C, Kotlin; практический опыт работы с командами разработчиков продуктов и DevOps-командами; понимание распространённых методов аутентификации и шифрования мобильных приложений, включая OAuth и PKI; понимание функций безопасности и лучших практик, специфичных для платформ, таких как App Transport Security от Apple, Network Security Configuration от Android; практический опыт работы с технологиями контейнеризации и оркестрации (Docker, K8s). Мы предлагаем: график 5/2, удалённый формат работы (либо из офиса в Москве); команда, с которой можно экологично спорить, шутить и работать; ДМС со стоматологией с первого месяца работы для сотрудников и их детей; большой спортзал, арена для пинг-понга, фрукты, овощи и всё такое полезное для здоровья.