Старший инженер по безопасности продуктов

Что предстоит делать

Штаб-квартира: Удаленно - США **О Vercel:** Vercel предоставляет разработчикам инструменты и облачную инфраструктуру для создания, масштабирования и обеспечения безопасности более быстрого и персонализированного веба. Будучи командой, стоящей за v0, Next.js и AI SDK, Vercel помогает таким клиентам, как Ramp, Supreme, PayPal и Under Armour, создавать веб-решения для AI-native среды. Наша миссия — дать миру возможность выпускать лучшие продукты. Это начинается с создания места, где каждый может выполнять свою лучшую работу. Создаете ли вы решения на нашей платформе, поддерживаете наших клиентов или формируете нашу историю: вы просто можете запускать продукты (ship things). **О роли:** Мы ищем старшего инженера по безопасности продуктов (Senior Product Security Engineer) для присоединения к нашей команде безопасности, чтобы реализовывать критически важные инициативы по безопасности продуктов во всех продуктах и на платформе Vercel. Ваша основная задача будет сосредоточена на моделировании угроз, безопасности программного обеспечения с открытым исходным кодом, безопасном ревью кода, инструментарии SDLC и управлении программой bug bounty. Вы будете поддерживать как наши внутренние команды разработчиков продуктов, так и внешние программы безопасности для клиентов, гарантируя, что безопасность встроена в наш жизненный цикл разработки и что наша платформа заслуживает доверия разработчиков и конечных пользователей. Как старший член команды, вы будете руководить кросс-организационными проектами по безопасности и продвигать культуру, ориентированную на безопасность, в инженерной организации Vercel. Это роль с высоким влиянием и широким охватом — ваша работа будет не только обеспечивать безопасность основной инфраструктуры и продуктов Vercel (построенных на Next.js, Node.js и serverless архитектуре), но также влиять на безопасность экосистем с открытым исходным кодом, в которые мы вносим вклад. Если вы находитесь в пределах предварительно установленного расстояния для поездок до одного из наших офисов (SF, NY, London или Berlin), роль включает обязательные дни в офисе в понедельник, вторник и пятницу. Если вы находитесь за пределами этого расстояния, роль является полностью удаленной. Для получения подробной информации о конкретном местоположении, пожалуйста, свяжитесь с нашей командой по подбору персонала. **Что вы будете делать:** * **Моделирование угроз и ревью дизайна:** Сотрудничайте с инженерными и продуктовыми командами для выполнения моделирования угроз для новых и существующих функций. Выявляйте потенциальные риски на ранних этапах фазы дизайна и рекомендуйте меры безопасности или изменения в дизайне для смягчения угроз. Вы будете гарантировать, что вопросы безопасности решаются с момента создания функций до их развертывания. * **Безопасное ревью кода:** Проводите безопасное ревью кода и оценки безопасности продуктов и сервисов, созданных с помощью Next.js, Node.js и нашего serverless бэкенда. Вы будете выявлять уязвимости на уровне кода, предоставлять разработчикам практические рекомендации по их устранению и устанавливать лучшие практики безопасного кодирования во всей инженерной команде. * **Управление безопасностью открытого исходного кода:** Курируйте усилия Vercel по безопасности открытого исходного кода. Это включает мониторинг и координацию исправлений уязвимостей в сторонних пакетах с открытым исходным кодом, которые мы используем (как потребитель), и обеспечение безопасности проектов с открытым исходным кодом, которые мы поддерживаем и публикуем (как участник/издатель, например, Next.js). Вы будете работать с мейнтейнерами и сообществом над ответственным раскрытием и исправлением проблем безопасности в коде с открытым исходным кодом. * **Инструментарий SDLC и автоматизация:** Оценивайте, выбирайте и интегрируйте инструменты безопасности в наш жизненный цикл разработки программного обеспечения. Вы будете руководить внедрением автоматических проверок безопасности — например, с использованием GitHub Advanced Security (GHAS) и других инструментов статического анализа, сканирования зависимостей и обнаружения секретов — непосредственно в наших CI/CD пайплайнах и GitHub workflows. Встраивая инструменты безопасности в рабочие процессы разработчиков, вы поможете выявлять проблемы на ранних этапах и сократить ручные усилия. * **Управление программой Bug Bounty:** Владейте и расширяйте программу bug bounty Vercel. Вы будете триажировать и проверять входящие отчеты об уязвимостях от сообщества исследователей безопасности, обеспечивать оперативное устранение критических проблем и координировать кросс-командные усилия по исправлению и извлечению уроков из сообщенных уязвимостей. Вы также будете работать над тем, чтобы сделать нашу программу bug bounty первоклассной и удобной для исследователей, включая уточнение политик, области действия и вовлеченности для поощрения качественных отчетов. * **Кросс-организационные инициативы по безопасности:** Руководите и вносите вклад в проекты по безопасности, которые охватывают несколько команд и дисциплин. Например, вы можете инициировать общеcompany-ный переход на более безопасный фреймворк, внедрить новый механизм аутентификации/авторизации в сотрудничестве с продуктовыми командами или развернуть программу повышения осведомленности о безопасности для инженеров. Вы будете выступать в роли защитника безопасности (security champion) во всей организации, согласовывая заинтересованные стороны из Engineering, DevOps, Product и других групп для внедрения долгосрочных улучшений безопасности. * **Поддержка безопасности для клиентов:** Тесно сотрудничайте с отделами customer success и product marketing по инициативам, связанным с безопасностью, которые влияют на наших пользователей. Это может включать вклад в документацию по безопасности и технические документы, помощь с опросниками по безопасности клиентов или аудитами, предоставляя экспертизу в области безопасности продуктов, а также информирование о наших функциях безопасности и лучших практиках для укрепления доверия клиентов к платформе. **О вас:** * **Опытный инженер по безопасности:** У вас есть 5+ лет опыта работы в роли инженера по безопасности продуктов (Product Security) или в смежной области с подтвержденным опытом обеспечения безопасности веб-продуктов и сервисов. Вы хорошо разбираетесь в основах безопасности продуктов и имеете практический опыт поиска и исправления уязвимостей. * **Владение стеком веб-технологий:** Хорошее знание JavaScript/TypeScript и безопасности среды выполнения Node.js. Опыт работы с современными веб-фреймворками (в идеале Next.js или React и фреймворками на Node.js) и понимание их аспектов безопасности. Вы можете читать и ревьюить код на этих технологиях для выявления недостатков безопасности. * **Экспертиза в моделировании угроз и SDLC:** Подтвержденная способность выполнять моделирование угроз и анализ архитектурных рисков для сложных продуктов. Вы понимаете, как интегрировать безопасность в быстро развивающийся SDLC, не замедляя его. Требуется опыт внедрения или работы с практиками безопасного жизненного цикла разработки (безопасный дизайн, ревью кода, пентестинг и т.д.). * **Инструменты безопасности и автоматизация:** Практический опыт работы с инструментами безопасности продуктов, такими как статическое тестирование безопасности приложений (SAST), динамическое тестирование (DAST), сканеры уязвимостей зависимостей и интеграция безопасности в CI/CD пайплайны. Знакомство с GitHub Advanced Security или аналогичными инструментами для сканирования кода и обнаружения секретов является большим плюсом. * **Безопасность открытого исходного кода и цепочек поставок:** Знание лучших практик безопасности открытого исходного кода. У вас есть опыт работы с безопасностью зависимостей открытого исходного кода и управлением пакетами (например, обработка уведомлений об уязвимостях, использование таких инструментов, как Dependabot или Snyk). Бонусом будет, если вы вносили вклад в проекты с открытым исходным кодом или поддерживали их, особенно связанные с безопасностью. * **Управление программами Bug Bounty и уязвимостями:** Опыт управления или участия в программе bug bounty или процессе раскрытия уязвимостей. Вы знаете, как оценивать внешние отчеты, воспроизводить и проверять уязвимости, а также координировать их исправление. Вы остаетесь в курсе последних уязвимостей (OWASP Top 10, новые угрозы) и методов их смягчения. * **Понимание безопасности облачных и serverless сред:** Хорошее понимание облачной архитектуры и serverless сред с точки зрения безопасности. Вы знакомы с обеспечением безопасности продуктов на облачных платформах (например, защита serverless функций, защита API, управление секретами и ключами). Опыт работы с соответствующими концепциями или инструментами облачной безопасности является плюсом. * **Техническое лидерство:** Подтвержденная способность продвигать инициативы по безопасности и влиять на инженерные команды для внедрения лучших практик. Вы можете работать кросс-функционально для достижения целей безопасности — например, внедрять новый инструмент или стандарт безопасности среди многих инженеров. (Хотя мы делаем акцент на технических навыках, эта старшая роль требует от вас эффективного общения и лидерства внутри организации для достижения результатов.) **Будет плюсом, если вы:** * Имеете предыдущий опыт разработки программного обеспечения помимо безопасности (например, как frontend или backend инженер). Умение сопереживать разработчикам и писать или вносить вклад в код поможет вам легко интегрировать безопасность в разработку. * Имеете соответствующие сертификаты или признание в области безопасности (например, OSCP, OSWE, CISSP или заметные записи в залах славы bug bounty). Они демонстрируют глубину ваших знаний, хотя и не обязательны. * Имеете опыт работы с безопасностью как код (policy-as-code) или безопасностью инфраструктуры как код (например, использование таких инструментов, как Open Policy Agent, проверки безопасности Terraform и т.д.). Это показывает, что вы можете внедрять безопасность в сферу автоматизации и инфраструктуры. * Создавали или внедряли функции безопасности в продукте (такие как системы аутентификации, шифрование, безопасные CI/CD пайплайны) или вносили вклад в проекты/инструменты сообщества безопасности. * Являетесь активным участником сообщества безопасности (например, вносите вклад в проекты безопасности с открытым исходным кодом, пишете посты в блогах или проводите исследования, посещаете или выступаете на конференциях по безопасности). Страсть к непрерывному обучению и обмену знаниями всегда является плюсом в нашей команде. **Преимущества:** * Конкурентоспособный компенсационный пакет, включающий опционы на акции (equity). * Инклюзивный медицинский пакет. * Учитесь и растите — мы предоставляем наставничество и отправляем вас на мероприятия, которые помогают вам развивать свою сеть контактов и навыки. * Гибкий график отпусков. * Мы предоставим вам все необходимое оборудование для выполнения вашей роли, а также бюджет на работу из дома для обустройства вашего пространства по мере необходимости. Диапазон базовой оплаты в Сан-Франциско, Калифорния, для этой роли составляет $196,000.00 - $294,000.00. Фактическая зарплата будет основываться на навыках, опыте и местоположении, соответствующих должности. Компенсация за пределами Сан-Франциско может быть скорректирована в зависимости от местоположения сотрудника. Общий компенсационный пакет может включать льготы, компенсацию на основе акций (equity) и право на участие в программе бонусов компании или переменной оплаты в зависимости от роли. Ваш рекрутер может предоставить более подробную информацию в процессе найма. Vercel стремится к развитию и расширению прав и возможностей инклюзивного сообщества внутри нашей организации. Мы не дискриминируем по признаку расы, религии, цвета кожи, гендерного выражения или идентичности, сексуальной ориентации, национального происхождения, гражданства, возраста, семейного положения, статуса ветерана, инвалидности или любого другого признака, защищенного законом. Vercel призывает всех подавать заявки на наши открытые позиции, даже если они не соответствуют каждому пункту в описании должности. Чтобы подать заявку: https://weworkremotely.com/remote-jobs/vercel-senior-product-security-engineer