DevSecOps-инженер

Playerok — это маркетплейс цифровых товаров и услуг. Мы соединяем покупателей и продавцов, берём на себя безопасность сделки и запускаем собственные продукты. Строим масштабный бизнес на быстрорастущем рынке, на стыке гейминга, финтеха и e-commerce.

Мы ищем DevSecOps-инженера с фокусом на продуктовую безопасность, который возьмёт безопасность маркетплейса с миллионами пользователей под собственный контроль. Ты будешь не только встраивать защиту в CI/CD и инфраструктуру, но и сам искать уязвимости в нашем коде и API - раньше, чем это сделают внешние пентестеры.

Круто если ты умеешь читать чужой код глазами атакующего, превращать единичные находки в процессы, которые не дают им повториться и уверенно коммуницируешь с разработчиками и с инфра-командой.

Чем придется заниматься:

• Закрывать уязвимости платформы по приоритезированному бэклогу - мы хотим, чтобы за их разбором стоял отдельный человек, который видит картину целиком, а не точечно затыкает дыры

• Самостоятельно искать новые уязвимости в продукте: ручное и полу-автоматизированное тестирование GraphQL, REST, WebSocket, веб-интерфейсов; проактивная охота на баги

• Встроить security в CI/CD - это пока отсутствует и должно стать блокерами в пайплайне

• Управление секретами - активное внедрение Vault

• Провести аудит публичной части - какие сервисы торчат наружу, какие должны быть строго за Netbird

• Особое внимание к денежной части

• Внедрить и поддерживать матрицу прав доступа

• Owner security-инцидентов: ранбуки, post-mortem'ы, action items

• Работать в связке с командой инфраструктуры и разработкой

Нам важно:

• Опыт в app/product security или DevSecOps от 5 лет в продуктовой компании

• Опыт с продуктом, где деньги бегают через систему: маркетплейсы, банкинг, платёжные системы - понимание рисков двойных списаний, race conditions, fraud

• Активный поиск уязвимостей: ты не просто реагируешь на отчёты пентестеров, но сам приносишь находки до того, как они окажутся во внешнем отчёте

• Опыт с современным security-tooling, постоянное самообучение

• Опыт построения security с нуля в условиях продакшена без maintenance windows

Будет плюсом

• Опыт чтения TypeScript / Nest.JS / React кода

• Опыт с GraphQL

• Опыт с Cloudflare / DDoS Guard, WAF-правилами, runtime monitoring

Что предлагаем

• Удаленный формат сотрудничества с редкими встречами в Москве (проживание в Москве очень желательно).

• 300 000 руб — стартовая вилка, итоговая сумма обсуждается по опыту.

• Возможность выбрать форму сотрудничества и оплаты (все налоги — наша забота).

• Онбординг-квест — не бросим в бой без подготовки, введем в курс дела и подключим к команде.

• Занятость 5/2 с 8-часовым рабочим днем.

• Команда профи — работаешь с инициативными и увлеченными коллегами.

• Пауза на восстановление — «перезагрузиться» можно в оплачиваемом отпуске или на больничном.

Откликайся на вакансию — это первый шаг к тому, чтобы стать частью команды, которая меняет правила игры. Ваш ход! 🎮