Старший инженер по безопасности приложений (Application Security Engineer)

Что предстоит делать

<h3><strong>Мы движем прогресс людей.</strong></h3><p>В Preply мы стремимся создавать жизненно важные учебные опыты. Мы помогаем людям открыть магию идеального репетитора, выстроить персонализированный путь обучения и оставаться мотивированными для постоянного роста. Наш подход ориентирован на человека, подкреплен технологиями — и он создает реальный эффект.</p><p>Мы только что достигли статуса единорога с раундом Series D на $150 млн, ускоряя наше видение трансформации образования через обучение, ориентированное на человека и усиленное AI. Сегодня более 100 000 репетиторов преподают 90+ языков учащимся в 180 странах — и это только начало. Как компания, определяющая категорию, мы формируем будущее обучения в глобальном масштабе.</p><p>Каждый урок Preply вызывает изменения, подпитывает амбиции и движет прогресс, который имеет значение. Присоединиться к Preply означает помочь определить будущее образования в глобальном масштабе и каждый день создавать нечто действительно важное для миллионов людей.</p><p><strong>Знакомьтесь с командой!</strong></p><p>Команда Security сотрудничает со всей компанией, чтобы помочь Preply расти безопасно и устойчиво. Мы отвечаем за безопасность платформы, безопасность приложений и продуктов, операции по безопасности и реагирование на инциденты. Мы тесно работаем с SRE, командами Data, инженерными командами и нашей функцией GRC, чтобы сделать безопасность практичной, измеримой и масштабируемой.</p><p>Мы работаем в небольших командах, что означает, что у вас будет высокая степень ответственности, реальное влияние на технические решения и возможность проводить значимые улучшения по всей компании. Мы поощряем самостоятельность, активное сотрудничество и культуру, где важны доверие и четкая коммуникация.</p><p>Мы достигли более 90% внедрения AI-инструментов для написания кода среди инженеров, и теперь мы движемся к более автономной, AI-усиленной разработке в масштабе. В Preply инженеры имеют прямой доступ к лучшим доступным инструментам со свободой использовать их в полной мере и экспериментировать в процессе создания.</p><p>У нас есть разнообразные технические задачи, которые позволят вам развивать свои навыки во всем стеке — иногда мы пишем о них в нашем <a href="https://medium.com/preply-engineering" target="_blank">Engineering Blog</a>! Пожалуйста, также посетите наш <a href="https://tech-radar.preply.com/?_ga=2.72086362.855941533.1670530539-1369760810.1670530539" target="_blank">Tech Radar</a> и наш <a href="https://www.youtube.com/@Preplyengineering-ie3bb" target="_blank">YouTube-канал</a>, чтобы узнать больше о технологиях, которые мы используем в Preply!</p><p><strong>Чем вы будете заниматься:</strong></p><ul><li>Отвечать за безопасность приложений и продуктов, тесно сотрудничая с инженерными командами для улучшения показателей безопасности на всем протяжении SDLC</li><li>Выступать в качестве сильного технического голоса в том, как мы проектируем, создаем, поставляем и эксплуатируем безопасные системы, ведя инициативы от начала до конца через влияние, сотрудничество и практическую реализацию</li><li>Работать практически с нашим основным бэкенд-стеком (Python, Django), читая и пиша код, внося улучшения и создавая автоматизацию для масштабирования безопасности; сотрудничать с командами разработки продуктов, чтобы встроить безопасность в планирование, дизайн и поставку, не замедляя работу команд</li><li>Участвовать в архитектурных обсуждениях и ревью дизайна для раннего выявления рисков и предложения прагматичных мер по их снижению</li><li>Руководить и проводить моделирование угроз для новых функций и значительных изменений, преобразовывая результаты в приоритетные инженерные задачи</li><li>Улучшать безопасный SDLC от начала до конца: требования, безопасный дизайн, рекомендации по реализации, тестирование, релиз и операционная готовность</li><li>Создавать «проторенные пути» и защитные барьеры, которые делают безопасный выбор стандартным (библиотеки, паттерны, шаблоны, CI-проверки)</li><li>Развивать инструментарий для безопасности кода и приложений, включая выбор, внедрение и принятие:<br><ul><li>SAST, SCA (сейчас мы используем Snyk), сканирование секретов и соответствующее DAST/API-тестирование там, где это добавляет сигнал</li><li>Интегрировать результаты в рабочие процессы разработчиков с четкой ответственностью, SLA и простым устранением</li></ul></li><li>Проактивно обнаруживать проблемы безопасности через поддержку ревью кода, автоматизацию, тестирование безопасности и целевые оценки<br>Улучшать управление уязвимостями для результатов по безопасности приложений и продуктов: триаж, приоритизация, устранение, верификация и отчетность по трендам</li><li>Создавать и проводить обучение и поддержку для инженеров (безопасное кодирование, распространенные ошибки, новые паттерны) и помогать развивать чемпионов безопасности в командах</li><li>Сотрудничать с GRC, чтобы гарантировать, что требования и меры контроля безопасности выполнимы, хорошо поняты и подтверждены реальной инженерной практикой</li><li>Руководить общеинженерными инициативами, управляя стейкхолдерами и согласовывая действия с бизнесом для достижения высокоэффективных результатов</li></ul><p><strong>Что нужно для успеха:</strong></p><ul><li>Сильный опыт в области безопасности приложений и продуктов в современных веб-средах с подтвержденным опытом улучшения показателей безопасности на протяжении всего SDLC</li><li>Хорошие навыки программирования (чтение, написание, ревью и предложение улучшений) на любом языке программирования</li><li>Подтвержденный опыт влияния на инженерные команды через ревью дизайна, моделирование угроз и практические рекомендации</li><li>Глубокое понимание распространенных рисков безопасности веба и API (OWASP Top 10, риски аутентификации и сессий, SSRF, инъекции, проблемы контроля доступа, утечка секретов, небезопасная десериализация и т.д.) и того, как они проявляются в реальных системах</li><li>Опыт выбора, внедрения и масштабирования инструментов безопасности в CI/CD (SAST, SCA, сканирование секретов и связанные меры контроля), включая настройку для снижения шума и улучшения принятия разработчиками</li><li>Способность превращать результаты в действия: четкая критичность, ответственность, приоритизация и верификация с акцентом на автоматизацию и повторяемость</li><li>Отличные коммуникативные навыки и способность сотрудничать с командами Product Engineering, Platform Engineering, SRE, Data и GRC</li><li>Ориентация на бизнес и умение принимать компромиссные решения по соотношению затрат и выгод</li><li>Готовность участвовать в дежурствах (on-call) и эффективно взаимодействовать с SRE во время инцидентов</li></ul><p><strong>Будет плюсом:</strong></p><ul><li>Опыт в области безопасности, связанный с паттернами идентификации и авторизации (OAuth/OIDC, SSO, RBAC/ABAC), особенно в SaaS-продуктах</li><li>Опыт работы с облачными средами и мерами контроля безопасности, влияющими на приложения (AWS, Kubernetes, границы инфраструктуры)</li><li>Опыт создания внутренних библиотек безопасности, платформ для разработчиков или защитных барьеров, масштабируемых на все команды</li><li>Опыт работы с программами bug bounty, процессами пентестинга или скоординированного раскрытия информации</li><li>Опыт в области мобильной безопасности</li></ul><p><strong>Почему вам понравится в Preply:</strong></p><ul><li>Открытая, коллаборативная, динамичная и разнообразная культура;</li><li>Щедрая ежемесячная надбавка на уроки на <a href="http://preply.com/" target="_blank">Preply.com</a>, бюджет на обучение и развитие, а также отгулы для саморазвития;</li><li>Конкурентоспособный финансовый пакет с опционами и отпускными;</li><li>Возможность раскрыть потенциал учащихся и репетиторов через изучение и преподавание языков в 175 странах (и это число растет!).</li></ul><h3><strong>Разнообразие, равенство и инклюзивность</strong></h3><p><a href="http://preply.com/" target="_blank">Preply.com</a> стремится создать инклюзивную среду, где люди с разным опытом могут процветать. Мы верим, что наличие различных мнений и точек зрения является ключевым ингредиентом нашего успеха как мультикультурной Ed-Tech компании. Это означает, что Preply будет рассматривать все заявки на трудоустройство без учета расы, цвета кожи, религии, гендерной идентичности или самовыражения, сексуальной ориентации, национального происхождения, инвалидности, возраста или статуса ветерана.</p> <div> <a href="https://jobs.dou.ua/companies/preply/vacancies/344815/#reply-btn-id">Откликнуться на вакансию</a> </div>