Application Security инженер, Ozon Банк

Команда информационной безопасности Ozon Банка ищет Application Security инженера в направление продуктовой безопасности. Платежные механики являются сердцем для всех продуктов Ozon и мы активно растем вместе рука об руку, строя самый безопасный цифровой банк для миллионов пользователей, и лучшие финансовые продукты для продавцов маркетплейса.

Мы активно используем лучшие практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, но вместе с тем специфика финансов не допускает многих компромиссов, поэтому мы так же строим локальную инфраструктуру и процессы, дополняющие профиль безопасности продуктов Ozon.

вам предстоит:

• Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта)
• Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков)
• Триажить уязвимости со всевозможных сканеров и багбаунти
• Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых)
• Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной

вы нам подходите, если:

• Ориентируетесь в цикле безопасной разработки SSDLC

• Занимались анализом защищённости веб и мобильных приложений

• Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические)

• Умеете обращаться с популярными open source SAST, DAST, SCA инструментами

• Внятно изъясняетесь на Bash, Python или Go, SQL

будет плюсом:

• Понимаете из чего состоят современные нагруженные веб-приложения

• Ориентируетесь в k8s, ci/cd и работали над безопасностью в каких-то их вариантах

• Отличаете cherry-pick от пуржа

почему именно у нас:

• Свежий и однородный технологический стек
• Актуальные appsec инструменты и минимум бюрократии, чтобы добавлять свои
• Интересные задачи и неравнодушные к своему делу коллеги