О Пассворке
Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций.
Безопасность лежит в основе продукта. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), поддерживаем двухфакторную аутентификацию, гибкое разграничение прав доступа и безопасный обмен секретами. В продукте — браузерное расширение, мобильные приложения и интеграции с корпоративной инфраструктурой.
Наш стек
•Backend: PHP, Symfony, MongoDB, PostgreSQL, REST API;
•Web: TypeScript, React;
•Mobile: React Native (iOS и Android);
•Интеграции и SDK: TypeScript и Python.
Процессы безопасной разработки уже выстроены: анализ кода, контроль зависимостей, тестирование безопасности. Ищем специалиста, который возьмёт на себя безопасность продукта и будет развивать эти процессы дальше.
О роли
Мы ищем инженера по безопасной разработке, который станет внутренним экспертом по безопасности продукта и будет участвовать во всех этапах его создания — от проектирования новых функций до анализа уязвимостей и развития процессов SDLC.
Это не роль администратора безопасности, специалиста по соответствию стандартам или SOC-аналитика.
Главная задача — сделать безопасность частью процесса разработки: помогать команде принимать правильные архитектурные решения, выявлять потенциальные риски до начала разработки и предотвращать появление уязвимостей ещё на этапе проектирования.
Что мы предлагаем
Мы ценим своих сотрудников и стремимся создать комфортные условия для всех: гибкий рабочий график, удалённый формат работы, дружескую атмосферу в коллективе, свободный дресс-код и уютные офисы в Архангельске и Санкт-Петербурге.
•Работа удаленно или в офисе — ты сам выбираешь удобный формат.
•График. С 10:00 до 18:00 по МСК.
•Компенсация курсов и занятий спортом. Частично возмещаем оплату языковых курсов и занятий спортом, полностью компенсируем профессиональные курсы.
•Официальное оформление. Оформляем по ТК РФ в штат.
•Аккредитация IT компании. Дает дополнительные преимущества для сотрудников.
•Неформальное общение и отсутствие бюрократии. Общаемся на «ты» и строим горизонтальные связи — можно легко написать любому человеку в команде.
•Рост и влияние на культуру. Развиваешь процессы безопасной разработки и формируешь культуру безопасности внутри команды.
•Задачи на стыке разработки, криптографии и архитектуры. Не узкая специализация, а широкий технический контекст.
Условия и ожидания
Обязанности
•Участвовать в проектировании новых функций и архитектурных решений, формировать требования безопасности на этапе проектирования.
•Участвовать в развитии криптографической архитектуры: анализировать схемы шифрования, управление ключами и механизмы хранения и обмена секретами.
•Поддерживать актуальность криптографической документации.
•Консультировать и обучать разработчиков, участвовать в разработке внутренних стандартов и рекомендаций.
•Проверять безопасность веб-приложения, API, мобильных приложений и браузерного расширения, включая механизмы аутентификации, авторизации и разграничения доступа.
•Анализировать результаты автоматических проверок, проводить триаж, сопровождать процессы устранения уязвимостей.
•Взаимодействовать с внешними исследователями безопасности, сопровождать программу Bug Bounty, участвовать в разборе инцидентов.
•Сопровождать и развивать инструменты анализа безопасности, настраивать правила проверок, внедрять новые практики и инструменты.
Опыт и навыки
•Опыт работы в области Application Security или безопасной разработки от 3 лет.
•Опыт участия в проектировании безопасной архитектуры приложений.
•Практический опыт моделирования угроз и анализа безопасности веб-приложений и API.
•Понимание принципов безопасной разработки, аутентификации, авторизации и разграничения доступа.
•Понимание принципов современной криптографии и управления ключами.
•Умение читать код как минимум на одном из языков: PHP, TypeScript/JavaScript или Python.
•Умение объяснять технические риски разработчикам и другим участникам команды простым и понятным языком.
Будет плюсом
•Опыт работы с продуктами, использующими клиентское шифрование или модель Zero Knowledge.
•Опыт участия в Bug Bounty программах или проведения внутренних пентестов.
•Опыт работы с мобильными приложениями и браузерными расширениями.
•Понимание принципов защиты Kubernetes и облачной инфраструктуры.
•Наличие профильных сертификатов в области информационной безопасности.
Софт навыки
•Системное мышление. Оцениваешь влияние архитектурных решений на безопасность продукта, видишь взаимосвязи между компонентами и заранее замечаешь потенциальные риски.
•Самостоятельность. Берёшь ответственность за безопасность продукта, умеешь принимать решения и доводить инициативы до результата без постоянного контроля.
•Аргументация. Обосновываешь рекомендации фактами, анализом рисков и лучшими практиками, умеешь объяснять сложные технические вопросы разработчикам и другим участникам команды.
•Внимание к деталям. Замечаешь потенциальные уязвимости, противоречия и слабые места ещё до того, как они становятся проблемой для команды.
•Стремление к развитию. Следишь за современными подходами в Application Security, криптографии и безопасной разработке, постоянно расширяя свои знания.
Этапы отбора
•Интервью с HR
•Интервью с CTO
Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью.
Присоединяйся к команде, которая делает лучший продукт в своей сфере!