Инженер по безопасной разработке (Application Security)
Компания-разработчик корпоративного менеджера паролей ищет инженера по безопасной разработке. Нужно участвовать в проектировании безопасной архитектуры, развивать криптографию, проверять безопасность веб- и мобильных приложений. Требуется опыт от 3 лет в AppSec и знание одного из языков: PHP, TypeScript или Python. Предлагают удаленку, гибкий график и компенсацию обучения.
Эта вакансия платит больше рынка
На 14% выше медианы Security по 53 вакансиям за 90 дней.
Что предстоит делать
О Пассворке Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций. Безопасность лежит в основе продукта. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), поддерживаем двухфакторную аутентификацию, гибкое разграничение прав доступа и безопасный обмен секретами. В продукте — браузерное расширение, мобильные приложения и интеграции с корпоративной инфраструктурой. Наш стек: • Backend: PHP, Symfony, MongoDB, PostgreSQL, REST API; • Web: TypeScript, React; • Mobile: React Native (iOS и Android); • Интеграции и SDK: TypeScript и Python. Процессы безопасной разработки уже выстроены: анализ кода, контроль зависимостей, тестирование безопасности. Ищем специалиста, который возьмёт на себя безопасность продукта и будет развивать эти процессы дальше. О роли Мы ищем инженера по безопасной разработке, который станет внутренним экспертом по безопасности продукта и будет участвовать во всех этапах его создания — от проектирования новых функций до анализа уязвимостей и развития процессов SDLC. Это не роль администратора безопасности, специалиста по соответствию стандартам или SOC-аналитика. Главная задача — сделать безопасность частью процесса разработки: помогать команде принимать правильные архитектурные решения, выявлять потенциальные риски до начала разработки и предотвращать появление уязвимостей ещё на этапе проектирования.
- Участвовать в проектировании новых функций и архитектурных решений, формировать требования безопасности на этапе проектирования.
- Участвовать в развитии криптографической архитектуры: анализировать схемы шифрования, управление ключами и механизмы хранения и обмена секретами.
- Поддерживать актуальность криптографической документации.
- Консультировать и обучать разработчиков, участвовать в разработке внутренних стандартов и рекомендаций.
- Проверять безопасность веб-приложения, API, мобильных приложений и браузерного расширения, включая механизмы аутентификации, авторизации и разграничения доступа.
- Анализировать результаты автоматических проверок, проводить триаж, сопровождать процессы устранения уязвимостей.
- Взаимодействовать с внешними исследователями безопасности, сопровождать программу Bug Bounty, участвовать в разборе инцидентов.
- Сопровождать и развивать инструменты анализа безопасности, настраивать правила проверок, внедрять новые практики и инструменты.
- Опыт и навыки
- Опыт работы в области Application Security или безопасной разработки от 3 лет.
- Опыт участия в проектировании безопасной архитектуры приложений.
- Практический опыт моделирования угроз и анализа безопасности веб-приложений и API.
- Понимание принципов безопасной разработки, аутентификации, авторизации и разграничения доступа.
- Понимание принципов современной криптографии и управления ключами.
- Умение читать код как минимум на одном из языков: PHP, TypeScript/JavaScript или Python.
- Умение объяснять технические риски разработчикам и другим участникам команды простым и понятным языком.
- Будет плюсом
- Опыт работы с продуктами, использующими клиентское шифрование или модель Zero Knowledge.
- Опыт участия в Bug Bounty программах или проведения внутренних пентестов.
- Опыт работы с мобильными приложениями и браузерными расширениями.
- Понимание принципов защиты Kubernetes и облачной инфраструктуры.
- Наличие профильных сертификатов в области информационной безопасности.
- Софт навыки
- Системное мышление. Оцениваешь влияние архитектурных решений на безопасность продукта, видишь взаимосвязи между компонентами и заранее замечаешь потенциальные риски.
- Самостоятельность. Берёшь ответственность за безопасность продукта, умеешь принимать решения и доводить инициативы до результата без постоянного контроля.
- Аргументация. Обосновываешь рекомендации фактами, анализом рисков и лучшими практиками, умеешь объяснять сложные технические вопросы разработчикам и другим участникам команды.
- Внимание к деталям. Замечаешь потенциальные уязвимости, противоречия и слабые места ещё до того, как они становятся проблемой для команды.
- Стремление к развитию. Следишь за современными подходами в Application Security, криптографии и безопасной разработке, постоянно расширяя свои знания.
- Этапы отбора
- Интервью с HR
- Интервью с CTO
- Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью.
- Присоединяйся к команде, которая делает лучший продукт в своей сфере!
Что предлагаем
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Похожие вакансии
6 вакансийСтарший инженер по обнаружению угроз и реагированию (Detection & Response Engineer)
~1 177 600 – 1 884 160 ₸ оценка
Solidgate ищет опытного инженера по безопасности для построения SOC с нуля. Вы будете разрабатывать правила детектирования, расследовать инциденты и автоматизировать процессы. Требуется опыт работы в SOC от 3 лет и знание MITRE ATT&CK. Предлагают удаленную работу, высокую зарплату и карьерный рост.
Старший специалист по наступательной безопасности (Red Team)
~1 177 600 – 1 884 160 ₸ оценка
Solidgate ищет опытного специалиста по наступательной безопасности для построения программы Red Team с нуля. Вы будете проводить эмуляцию атак на сложную AWS-инфраструктуру, веб/API и людей, разрабатывать кастомные инструменты и сотрудничать с SOC. Требуется 4+ года опыта в пентесте и Red Team, глубокие знания AWS и ручной эксплуатации уязвимостей. Предлагают удаленную работу, высокую зарплату, 30+ дней отпуска и возможность влиять на архитектуру безопасности финтех-платформы.
Cloud Security Engineer
~2 468 000 ₸ оценка
Ищем опытного Cloud Security Engineer для удаленной работы в Европе. Вы будете обеспечивать безопасность мультиоблачных сред (AWS, Azure, GCP, OCI), заниматься мониторингом, реагированием на инциденты, автоматизацией безопасности и защитой AI/ML нагрузок. Требуется 5+ лет опыта в облачной безопасности, знание IAM, CSPM, EDR, SIEM, Python и Terraform. Предлагаем работу в международной компании с более чем 500 млн пользователей.
Корпоративный архитектор безопасности (удаленно)
~2 468 000 ₸ оценка
Компания ZONE3000 ищет архитектора корпоративной безопасности для удаленной работы. Вы будете проводить оценки рисков третьих сторон, проверять безопасность SaaS-платформ и корпоративных технологий, а также взаимодействовать с различными отделами. Требуется 8+ лет опыта в информационной безопасности и знание стандартов NIST, ISO 27001, SOC 2. Предлагается работа в международной компании с глобальной платформой.
Старший специалист по защите данных
~2 468 000 ₸ оценка
Ищем старшего специалиста по защите данных в банк. Нужно развивать процессы предотвращения утечек информации, настраивать DLP и DCAP системы, расследовать инциденты ИБ. Требуется опыт в информационной безопасности, знание DLP/SIEM и навыки цифровых расследований.
Специалист по информационной безопасности
~2 468 000 ₸ оценка
Ozon Банк ищет опытного специалиста по информационной безопасности для проектирования и внедрения защитных решений. Требуется глубокое понимание сетей, контейнерных сред и архитектурной безопасности, а также опыт работы в финансовом секторе. Предлагается работа в команде, где ценят открытость и влияние на результат.