Appsec/Специалист по безопасной разработке

Сравни — финансовый маркетплейс, мы создаем удобные сервисы и рекомендации, для того чтобы помочь людям принимать правильные решения при выборе банковских и страховых продуктов — ОСАГО, страховок путешественника, страхования недвижимости, Каско, вкладов, кредитов, кредитных карт или подобрать лучший вариант ипотеки. Мы первыми в Рунете придумали и запустили сервисы оформления электронного ОСАГО и подбора кредита.

Сейчас у нас:

• 18 млн уникальных пользователей в месяц
• 8 000 предложений от банков и страховых компании
• 140 000 отзывов о банках и страховых компаниях
• более 7000 оформленных страховок в день
• каждый 10 полис ОСАГО в России куплен на Сравни.

Наши преимущества:

• Ты можешь сам выбирать пути решения задачи. Мы активно используем OpenSource инструменты и занимаемся их доработкой;
• Работа в команде с большим набором компетенций, которая всегда тебя поддержит;
• Отсутствие бюрократии — любая идея будет услышана, без строгой иерархии, при этом с чёткой ответственностью.

Задачи:

• Внедрить AppSec-практики в команды разработки;

• Внедрять, поддерживать работу и анализировать отчеты инструментов автоматизированной проверки приложений (SAST, DAST);

• Моделировать угрозы безопасности приложений/сервисов и предлагать механизмы защиты;

• Выявлять, анализировать и предотвращение риски ИБ в процессе разработки ПО;

• Интегрировать сканеры безопасности в CI/CD;

• Выстроить процесс работы с уязвимостями

Требования:

• Опыт работы в области обеспечения безопасности приложений не менее 2 лет;

• Знание JavaScript/Sharp/GO;

• Понимание причин возникновения и принципов эксплуатации уязвимостей приложений;

• Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов;

• Понимание принципов работы современных веб-приложений и их защиты;

• Знание векторов атак на современные приложения (web, api, mobile), методов обхода защиты на уровне приложений и наложенных средств защиты;

• Знание приёмов митигации распространенных уязвимостей и безопасной разработки.

Будет плюсом:

• Опыт работы с инфраструктурой в Яндекс-облаке, понимание принципов IaC;
• Опыт работы с Ansible, Cloudflare, terraform, k8s, Burp, сканерами уязвимостей.

Мы предлагаем:

• Конкурентную зарплату;
• ДМС, включая стоматологию (в лучших клиниках Москвы) и страхование жизни,
• Оплату посещения профильных конференций;
• Оплату профильных курсов;
• Холодильник с едой в офисе
• Пицца/пироги/суши каждую пятницу, вечера национальной кухни;
• Современную технику;
• Покупку профильной литературы;
• Материальную помощь при рождении ребенка + 3 дня оплачиваемого отпуска
• Корпоративные мероприятия и тимбилдинги (картинг, пейнтбол, лазертег и др.);
• Помощь с переездом для кандидатов из других городов (оплата билетов и первого месяц квартиры);
• Современный офис с видом на всю Москву (2 минуты пешком от метро Римская/Площадь Ильича).