Application security engineer

О команде

Команда AppSec отдела безопасности веб-сервисов занимается поиском уязвимостей в веб-приложениях компании, консультирует сотрудников по вопросам, связанным с безопасностью, развивает и поддерживает нашу bug bounty программу и занимается проектной деятельностью, направленной на усиление безопасности компании.

Что предстоит делать в нашей команде

• Проводить аудиты безопасности приложений и сервисов.
• Проектировать новые приложения в соответствии с основами безопасной разработки.
• Общаться с продуктовыми командами с целью устранения и недопущения уязвимостей в будущем.
• Заниматься исследовательской деятельностью в области ИБ.
• Обрабатывать сообщения, полученные на bug bounty.
• Обрабатывать результаты автоматических сканеров.

Чего мы ожидаем от кандидата

• Умение и опыт поиска уязвимостей в современных веб-приложениях.
• Знание и понимание распространенных уязвимостей и способов атаки на веб-приложения.
• Понимание работы базовых сетевых технологий и протоколов (HTTP, WebSocket, REST API).
• Умение оценивать уязвимости в соответствии со стандартом CVSS.
• Опыт формирования рекомендаций по безопасности приложений.
• Опыт работы с Burp suite/ZAP и их расширениями, сканерами периметра и директорий.

Большим преимуществом будет

• Опыт участия в bug bounty и CTF.
• Опыт в поиске уязвимостей в мобильных приложениях.
• Умение читать и писать код (С#, Java, Python, Go и др.).
• Наличие сертификатов по информационной безопасности.

Что мы готовы предложить

• Уровень дохода, который зависит от ваших технических знаний и навыков. Раз в год мы пересматриваем зарплаты в зависимости от вашего роста в качестве инженера. Если вы прокачиваетесь быстрее, готовы обсуждать изменения грейда и дохода чаще.
• Гибридный рабочий график.
• Комфортный офис в Екатеринбурге. Обеспечим зонами отдыха, кухней с полезным перекусом, библиотеками с профессиональной литературой.
• Удаленный формат работы для этой роли возможен для грейдов middle и выше.
• Пространство для инжиниринга и творчества. Хотите сделать статью на Хабре — у нас есть корпоративный блог, а с текстом статьи смогут помочь наши деврелы. Хотите выступить на конференциях — поможем попасть и подготовиться. Еще сами делаем конференции и митапы: от вас инициатива и выступление, от нас — общая организация ивента и площадка. Проекты в опенсорсе у нас тоже есть.
• Движухи на уровне всей компании. Техническая конференция всех программистов — Конфур, летучки и обмен опытом между командами, общие праздники.
• Мы всегда на «ты». Максимум горизонтальных связей в коллективе, чтобы быстрее договариваться и решать рабочие задачи. А еще у нас есть инженерный совет, который придумывает и реализует проекты для улучшения жизни инженеров в компании, и в него можно попасть.