Senior Application Security Engineer (AppSec)

О компании:

Xello – IT-компания, прошедшая путь от стартапа до одного из ключевых игроков на рынке информационной безопасности. Мы создаём передовые продукты в сфере кибербезопасности, направленные на предотвращение хакерских атак. Наши решения помогают бизнесам любого масштаба защищать свои критические данные и данные клиентов.
Мы аккредитованная IT-компания в Минцифры и резиденты Сколково, и наши сотрудники могут воспользоваться предлагаемыми льготами.

Наша команда регулярно участвует в профильных конференциях, а проекты реализуются на современном технологическом стеке, что обеспечивает инновационность и качество наших решений.

Мы работаем с передовым технологическим стеком и решаем сложные задачи, связанные с созданием высоконагруженных систем и архитектурных компонентов. У нас вы будете участвовать в разработке решений, которые взаимодействуют с операционными системами и инфраструктурой, обрабатывают сотни тысяч событий в секунду и оптимизируют процессы хранения данных и коммуникации между компонентами. Мы ценим инновации и открыты для экспериментов, постоянно используем современные подходы и инструменты в разработке.

Сейчас мы ищем инженера Product Security/Application Security, который будет отвечать за безопасность наших продуктов на всех этапах разработки — от архитектуры до CI/CD и поставки артефактов. Вам предстоит выстраивать процессы secure SDLC, анализировать архитектуру сложных систем и помогать командам разработки создавать безопасные продукты. Эта роль предполагает глубокое погружение в архитектуру, инфраструктуру разработки и современные угрозы software supply chain.

Чем предстоит заниматься:

• Формирование и развитие процессов secure SDLC;
• Внедрение и настройка инструментов SAST/SCA/Secret scanning;
• Разработка security требований к продуктам и архитектуре;
• Анализ и повышение безопасности CI/CD инфраструктуры;
• Внедрение практик artifact signing, SBOM, dependency security;
• Разработка политики управления зависимостями;
• Взаимодействие с командами разработки на всех этапах жизненного цикла продукта.

Что ожидаем от кандидата:

• Опыт работы в области Application Security/Product Security от 5 лет;
• Глубокое понимание архитектуры современных приложений и типовых уязвимостей;
• Понимание Linux internals, сетевых протоколов и принципов работы ОС;
• Опыт работы с инструментами SAST/SCA/DAST;
• Понимание безопасности CI/CD и supply chain;
• Опыт проведения threat modeling и security design review;
• Опыт анализа архитектуры сложных систем;
• Понимание принципов secure SDLC;
• Навыки взаимодействия с командами разработки.

Будет плюсом:

• Опыт работы в компаниях, разрабатывающих продукты информационной безопасности;
• Опыт исследования уязвимостей и участия в bug bounty/security research;
• Понимание атак на EDR, endpoint-security и инфраструктурные продукты;
• Опыт работы с container security и cloud security;
• Опыт построения product security программы с нуля;
• Публичные выступления, статьи или исследования в области безопасности.

Мы предлагаем:

• Гибкий гибридный график работы;
• Возможность удаленной работы;
• Достойную заработную плату, которая обсуждается с каждым кандидатом индивидуально и зависит от знаний и опыта;
• Пересмотр заработной платы в соответствии с профессиональным ростом;
• Возможность максимально влиять на продукт;
• Профессиональный рост, возможность работы над сложными задачами в рамках уникального продукта;
• Возможность принимать участие в профильных мероприятиях и конференциях;
• Качественный пакет ДМС, day-off pack, и т.д.