Инженер информационной безопасности/Application Security Engineer

Мы ищем универсального специалиста информационной безопасности (AppSec) уровня Senior/Lead, который cможет совместить техническую экспертизу и стратегическое мышление. Это "гибридная" роль, где 60% — практическая работа (аудит, код-ревью), 40% — построение процессов.

Вы будете участвовать в создании технологичных решений, которые изменят представление о таких продуктах для физических лиц как облачное хранилище и почтовый сервис.

Сейчас у наших продуктов многомиллионная аудитория, но мы продолжаем развиваться.
Для нас 2025 — год экспериментов, цель которых переосмыслить свое место на рынке и собрать новую стратегию развития.

Инструменты и объемы сервисов крупнейшей технологической группы РФ и его партнеров открывают перед нами огромные возможности:
> 100 000 000 клиентов;
> 1 000 поверхностей с многомиллионной аудиторией;
> 10 000 000 партнеров и каналов продаж.

Мы приглашаем вас стать частью корпоративного стартапа: с одной стороны, у нас ресурсы и возможность создавать продукты нового уровня, с другой — самый надёжный партнер и инвестор российского рынка.

Стек:
DevSecOps: SAST (Checkmarx, SonarQube, OSS)
Защита: WAF от облачного провайдера, анти-DDoS, «Касперский»
Инфраструктура: NGFW, AD, тестовые среды

Чем предстоит заниматься?

• Участвовать во внедрении процесса Security Code Review с фокусом на OWASP TOP-10 (проверки безопасности кода);

• проводить аудит существующих систем (с Whitebox при взаимодействии с контрагентами);

• верхнеуровнево, на уровне роадмапа фич, участвовать в оценке и проведении ревью архитектуры систем и конкретных сервисов;

• разработка security-политик (HSTS, CSP, rate limiting);

• внедрение S-SDLC: от требований до релиза (улучшение и внедрение практик DevSecOps);

• формирование стратегии по внедрению DevSecOps-процессов в новом продукте;

• консультирование разработчиков по устранению выявленных уязвимостей;

• взаимодействие с отделами эксплуатации для анализа/разработки сигнатур под актуальные атаки.

• 3+ года hands-on опыта в AppSec;

• знание архитектуры веб-приложений (HTTP, REST, сессии);

• практические навыки в скриптовых языках для автоматизации (Python, JS, Bash);

• понимание CI/CD и процессов разработки.

Плюсом будет:

• Опыт внедрения SAST/DAST;

• знание облачной безопасности (WAF, anti-DDoS);

• базовое понимание Threat Modeling.

• Официальное трудоустройство;
• современный офис (на Даниловской мануфактуре), собственный спортзал от «Лиги Героев», а также занятия футболом, настольным теннисом, боксом и групповые тренировки «Здоровая спина»;
• ДМС со стоматологией, офисный врач, доплата за больничный лист, корпоративные скидки;
• электронная библиотека издательства МИФ, в которую входят почти 2 тыс. единиц контента по бизнесу, саморазвитию, здоровому образу жизни и другим актуальным темам;
• бесплатная подписка на сервисы партнеров;
• насыщенная корпоративная жизнь.