Mobile Application Security (AppSec)

MagnitTech — это опытная команда IT-специалистов, которая создает экосистему современных цифровых продуктов Магнит. Наши сервисы вот уже несколько лет помогают нам стать любимым магазином для каждой российской семьи.

Мы внедряем процессы и практики безопасной разработки и DevSecOps (SAST, SCA, MAST, ASOC, Secret Scanning, Container Security Platform), создавая передовую платформу для защиты приложений. Наша цель - помочь разработчикам выпускать продукты быстро и безопасно, соблюдая баланс между time-to-market и высоким уровнем защищенности. Мы придерживаемся принципов Secure Platform Engineering и делаем безопасность удобной и понятной для команд разработки.

Мы ищем увлечённого специалиста, который сможет распространять наши подходы среди лучших команд разработки, продвигать практики AppSec и помогать выстраивать эффективные процессы в команде MagnitTech!

Чем ты будешь заниматься:

• Сканировать мобильные приложения, триажировать найденные уязвимости

• Ставить задачи на исправление уязвимостей и контролировать их устранения, автоматизировать процессы, взаимодействовать с командами разработки

• Идентифицировать слабые места и уязвимости в архитектуре, инфраструктуре и ПО внедряемых сервисов, формировать требования по защите и контролю их реализации

• Участвовать во внедрении средств защиты информации и автоматизации процессов разработки

• Выстраивать и регламентировать процессы безопасной разработки

• Проводить аудит мобильных приложений на соответствие требованиям ИБ

Стек технологий:

Linux, Windows, Django, Dart, SAST (AppScreener), DAST (burp), Stingray, MobSF, KeyCloak, Python, React

Что для нас важно:

1. Опыт в Mobile Application Security
2. Практический опыт проведения анализа защищенности мобильных приложений (black/gray/white box), умение эксплуатировать найденные уязвимости (PoC)
3. Понимание работы современных мобильных приложений: микросервисной архитектуры
4. Знание OWASP MASVS, какие существуют уязвимости, как реализуются, каких бывают видов и основные векторы их применения, а также сетевых протоколах и способах атак на них
5. Понимание процессов CI\CD, DevSecOps, AppSec

Желательно:

• Знание СУБД - PostgreSQL
• Умение автоматизировать процессы - bash, python, etc
• Знание Linux, Windows на уровне администратора
• Понимание протокола OAuth, знакомство с Keycloak

Мы предлагаем:

• Работу в аккредитованной IT-компании;
• График работы 5/2 с гибким началом рабочего дня;
• Возможность работать как удаленно, так и в современных офисах с зонами отдыха в Москве, Краснодаре, Санкт-Петербурге и Иннополисе;
• ДМС со стоматологией;
• Оплату обучения на курсах и участие в конференциях;
• Возможность реализовать свой опыт и потенциал в интересных и многоплановых проектах;
• Прозрачные цели, четкие ожидания, здравый смысл в процессах и управленческих подходах;
• Возможность проведения митапов, хакатонов, где есть возможность познакомиться с работой других подразделений;
• Наличие корпоративных скидок PRIMEZONE, программ лояльности, корпоративной библиотеки, курсов;
• Отсутствие трекинга времени;
• Корпоративную технику для комфортной работы.