Спеціаліст з безпеки додатків

Что предстоит делать

Мы — украинская продуктовая IT-компания Galaktica, которая создает и продвигает свои собственные онлайн-проекты на наиболее платежеспособных рынках мира: США, Канада, Австралия, Великобритания, ЕС. Нашей компании, как и основному продукту, уже более 5 лет. Этот продукт прибыльный, что позволяет нам обеспечивать рост и развитие сотрудников, масштабироваться и инвестировать в создание новых внутренних стартапов. Сейчас мы ищем специалиста на позицию Application Security Specialist! Вы будете вовлечены в обеспечение стратегического и операционного управления информационной безопасностью продукта, а также развитие культуры безопасности в организации. Если у вас есть опыт в области организации информационной безопасности и стремление построить надежную систему защиты, мы ждем в команде именно вас! Чем мы будем вам полезны: Одна из ключевых ролей в построении системы IS. Реальное влияние на безопасность бизнеса. Работа с топовыми инструментами и живыми процессами. На данной должности вам необходимо будет решить следующие задачи: Провести security assessment веб-приложений, API и backend систем. Проанализировать код и поведение систем для выявления уязвимостей. Предоставить рекомендации по устранению уязвимостей. Интегрировать требования безопасности в процесс разработки (Secure SDLC). Провести design review и security review архитектуры. Построить и улучшить процессы SSDLC. Интегрировать security checks в CI/CD pipelines. Настроить и оптимизировать SCA/SAST/DAST инструменты. Обеспечить контроль lifecycle исправления уязвимостей. Проконсультировать разработчиков по практикам secure coding. Обеспечить баланс между требованиями безопасности и производительностью продукта. Какие навыки и критерии нам сейчас важны: Глубокое понимание web application security (OWASP Top 10, auth flaws, injection и т.д.); Опыт проведения security assessment (web/API/backend систем); Практический опыт работы с: SCA/SAST/DAST инструментами, BurpSuite/OWASP ZAP; Понимание и опыт внедрения Secure SDLC (SSDLC); Опыт manual testing/code review с точки зрения безопасности; Базовое понимание архитектуры веб-приложений и API; Понимание принципов authentication/authorization (OAuth2, JWT, SSO); Опыт работы с CI/CD (GitLab CI/GitHub Actions/Jenkins). Будет плюсом: опыт threat modeling (STRIDE/MITRE ATT&CK); понимание container security (Docker/Kubernetes); работа с supply chain security (SCA, SBOM). Что мы рады вам предложить: Формат работы: выбирайте, как вам удобнее — удаленно, гибридно или в офисе в Киеве, Львове, Одессе или на Кипре (Ларнака). Все украинские офисы оборудованы генераторами со Starlink и доступны для команды 24/7. Рабочий график — с 10:00 до 18:30; Оборудование: предоставляем все необходимое для комфортной работы и для решения масштабных задач, экспериментов — ноутбук/ПК/дополнительные мониторы или специализированные гаджеты; Безопасность и страховка: мы не только следим за уровнем удовлетворенности сотрудников, но и заботимся о вас в трудные моменты. Каждый сотрудник имеет медицинское страхование за счет компании (на территории Украины) или денежную компенсацию на спорт; Отдых и баланс: 3 недели оплачиваемого отпуска ежегодно, неограниченные day off и гибкие sick leaves без лишней бюрократии. Мы доверяем команде, поэтому поддерживаем здоровый баланс между работой и личной жизнью; Коллеги и атмосфера: люди, которые вас окружают, определяют уровень жизни и развитие. Благодаря качественным этапам собеседования, мы подбираем лучших из лучших. Вы будете работать с настоящими профессионалами в своей сфере; Непрерывное развитие: оплачиваем тренинги, семинары, онлайн-курсы, конференции. Имеем собственную LMS-систему, библиотеку и книжный клуб, которые объединяют тех, кто не останавливается в обучении. Кроме того, у нас есть 3 сертифицированных коуча, которые проводят внутренние обучения и персональные коуч-сессии для сотрудников — это помогает лучше понимать себя, прокачивать лидерские навыки и достигать профессиональных целей; Английский язык: выделяем бюджет на индивидуальные занятия и имеем Speaking Club, чтобы вы прокачали свой английский язык и забыли о любых барьерах; Спортивные активности: присоединяйтесь к корпоративным тренировкам по волейболу, бегу или йоге еженедельно, которые полностью оплачивает компания. Мы пробежали уже не один марафон, ведь наши тренеры — настоящие профессионалы; Командный дух: мы регулярно проводим тимбилдинги от выездных до уютных встреч в офисе. Это отличный шанс познакомиться поближе и зарядиться энергией команды. Атмосферу наших ивентов можно почувствовать здесь — YouTube Galaktica. 🚀 Наша цель Построить продуктовую IT экосистему различных направлений, в которой каждый сотрудник будет иметь возможность открывать внутренние стартапы, расти и реализовывать свои идеи. Присоединяйтесь! 💙 Социальная ответственность Наша компания, как социально ответственный бизнес, на постоянной основе реализует ряд проектов и инициатив, направленных на поддержку Сил обороны, участников боевых действий и детей. На базе компании действуют два благотворительных фонда, которые специализируются на реабилитации военнослужащих и помощи детям военных и тем, кто пострадал от боевых действий. Наша компания полностью обеспечивает административную деятельность этих фондов и выделяет средства на их основные цели. Мы регулярно закупаем FPV-дроны, НРК и поставляем нашим защитникам автомобили. В прошлом году мы решили расширить нашу поддержку ВСУ и начали инвестировать в military-стартапы, занимающиеся производством ударных дронов и НРК, ведь это направление является одним из самых приоритетных для наших вооруженных сил. Будем рады обсудить все ваши вопросы и пригласить вас на собеседование! Подчеркиваем, мы свяжемся с вами любым удобным способом для детального обсуждения нашей вакансии в случае заинтересованности команды в вашей кандидатуре!