Привет! Мы международная IT компания Marfatech.
На рынке мы выросли от стартапа по привлечению трафика до компании с международными проектами. Мы занимаемся разработкой в сфере гейм-приложений и системами BI-аналитики. Нам нравится создавать и внедрять новые технологии максимально быстро, с минимумом бюрократии, чтобы менять IT-мир к лучшему!
Ищем AppSec-инженера в подразделение продуктовой безопасности, который будет работать с продуктовыми командами и помогать делать продукты и сервисы безопасными по принципу secure-by-design.
Роль предполагает участие в разработке новых фич, анализ архитектуры сервисов, внедрение практик DevSecOps и развитие культуры безопасности в разработке.
AppSec-инженер - это не только про поиск уязвимостей, но и про совместную работу с командами над улучшением качества продуктов и процессов разработки.
Чем предстоит заниматься:
- сопровождать продуктовые фичи на всём жизненном цикле производства: от бизнес-идеи до выпуска в прод
- проводить анализ защищённости разрабатываемых продуктов и сервисов в компании
- триажить результаты security сканеров
- работать с техдолгом по безопасности продуктовых и инфраструктурных команд
- участвовать в отработке инцидентов ИБ
- проводить консультации и обучение продуктовых команд (secure coding и другие best practices по AppSec)
- улучшать наши внутренние процессы
Чем НЕ предстоит заниматься:
- формальным compliance & security-theater без реального влияния на продукт
- писать отчёты, которые никто не читает
- бороться с разработкой вместо совместной работы над безопасностью
- внедрять ради внедрения security-инструменты, которые никто не использует
- преодолевать бюрократические барьеры, чтобы реализовать инициативу
Что важно для роли
- понимание уязвимостей веб-приложений и способов их эксплуатации и устранения
- опыт работы с инструментами безопасности (SAST/SCA/DAST/Container Security/IaC security и др.)
- опыт анализа архитектуры приложений и оценки security-рисков
- опыт интеграции security-инструментов в CI/CD
- понимание процессов SSDLC / DevSecOps
Будет плюсом
- опыт bug bounty
- опыт внедрения AI Security / MLSecOps
- опыт внедрения AppSec-процессов в продуктовых компаниях
- опыт работы с облачными инфраструктурами и контейнерами
Как мы работаем
В команде ценятся открытые коммуникации, сотрудничество между командами и постоянное развитие экспертизы. Безопасность рассматривается как часть качества продукта, поэтому подразделение Product Security работает вместе с разработкой и бизнесом, помогая командам управлять рисками и принимать технические решения.Почему эта вакансия может быть интересна
Эта позиция может быть вам близка, если вам интересно отвечать на вопросы вроде:- какие реальные риски я могу подсветить команде при разработке этой фичи?
- какие из десятков/сотен результатов security-сканеров действительно представляют риск для продукта?
- как уменьшить security-техдолг продукта без бесконечных тикетов и ручного triage?
- какой компромисс можно найти, чтобы не блокировать фичу и не так сильно импактить на безопасность?
- что я ещё могу сделать, чтобы повлиять на безопасность продуктов в моей зоне ответственности?
Мы предлагаем:
- официальное трудоустройство в соответствии с ТК РФ;
- достойный уровень заработной платы;
- удаленный формат работы;
- сложные, интересные задачи;
- полное отсутствие бюрократии;
- возможность карьерного роста и профессионального развития;
- открытую и свободную среду - у нас ты сможешь сам задавать тренды, а не следовать им;
- ДМС;
- частичную оплату занятий спортом;
- 50% компенсацию оплаты изучения английского языка;
- 10 бесплатных сессий и 50% компенсацию оплаты консультаций психолога;
- график работы: пять дней в неделю (гибкое начало дня);
- 5 сикдеев в год дополнительно.