AppSec инженер / Инженер по безопасной разработке

Пассворк
Москва
150 000 – 300 000 RUR
🏢 Офис
Junior
Полная занятость
Россия
Описание вакансии

О Пассворке

Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций.

Безопасность лежит в основе продукта. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), поддерживаем двухфакторную аутентификацию, гибкое разграничение прав доступа и безопасный обмен секретами. В продукте — браузерное расширение, мобильные приложения и интеграции с корпоративной инфраструктурой.

Наш стек
Backend: PHP, Symfony, MongoDB, PostgreSQL, REST API;
Web: TypeScript, React;
Mobile: React Native (iOS и Android);
Интеграции и SDK: TypeScript и Python.

Процессы безопасной разработки уже выстроены: анализ кода, контроль зависимостей, тестирование безопасности. Ищем специалиста, который возьмёт на себя безопасность продукта и будет развивать эти процессы дальше.

О роли

Мы ищем инженера по безопасной разработке, который станет внутренним экспертом по безопасности продукта и будет участвовать во всех этапах его создания — от проектирования новых функций до анализа уязвимостей и развития процессов SDLC.

Это не роль администратора безопасности, специалиста по соответствию стандартам или SOC-аналитика.

Главная задача — сделать безопасность частью процесса разработки: помогать команде принимать правильные архитектурные решения, выявлять потенциальные риски до начала разработки и предотвращать появление уязвимостей ещё на этапе проектирования.

Что мы предлагаем

Мы ценим своих сотрудников и стремимся создать комфортные условия для всех: гибкий рабочий график, удалённый формат работы, дружескую атмосферу в коллективе, свободный дресс-код и уютные офисы в Архангельске и Санкт-Петербурге.

Работа удаленно или в офисе — ты сам выбираешь удобный формат.
График. С 10:00 до 18:00 по МСК.
Компенсация курсов и занятий спортом. Частично возмещаем оплату языковых курсов и занятий спортом, полностью компенсируем профессиональные курсы.
Официальное оформление. Оформляем по ТК РФ в штат.
Аккредитация IT компании. Дает дополнительные преимущества для сотрудников.
Неформальное общение и отсутствие бюрократии. Общаемся на «ты» и строим горизонтальные связи — можно легко написать любому человеку в команде.
Рост и влияние на культуру. Развиваешь процессы безопасной разработки и формируешь культуру безопасности внутри команды.
Задачи на стыке разработки, криптографии и архитектуры. Не узкая специализация, а широкий технический контекст.
Условия и ожидания
Обязанности
Участвовать в проектировании новых функций и архитектурных решений, формировать требования безопасности на этапе проектирования.
Участвовать в развитии криптографической архитектуры: анализировать схемы шифрования, управление ключами и механизмы хранения и обмена секретами.
Поддерживать актуальность криптографической документации.
Консультировать и обучать разработчиков, участвовать в разработке внутренних стандартов и рекомендаций.
Проверять безопасность веб-приложения, API, мобильных приложений и браузерного расширения, включая механизмы аутентификации, авторизации и разграничения доступа.
Анализировать результаты автоматических проверок, проводить триаж, сопровождать процессы устранения уязвимостей.
Взаимодействовать с внешними исследователями безопасности, сопровождать программу Bug Bounty, участвовать в разборе инцидентов.
Сопровождать и развивать инструменты анализа безопасности, настраивать правила проверок, внедрять новые практики и инструменты.
Опыт и навыки
Опыт работы в области Application Security или безопасной разработки от 3 лет.
Опыт участия в проектировании безопасной архитектуры приложений.
Практический опыт моделирования угроз и анализа безопасности веб-приложений и API.
Понимание принципов безопасной разработки, аутентификации, авторизации и разграничения доступа.
Понимание принципов современной криптографии и управления ключами.
Умение читать код как минимум на одном из языков: PHP, TypeScript/JavaScript или Python.
Умение объяснять технические риски разработчикам и другим участникам команды простым и понятным языком.
Будет плюсом
Опыт работы с продуктами, использующими клиентское шифрование или модель Zero Knowledge.
Опыт участия в Bug Bounty программах или проведения внутренних пентестов.
Опыт работы с мобильными приложениями и браузерными расширениями.
Понимание принципов защиты Kubernetes и облачной инфраструктуры.
Наличие профильных сертификатов в области информационной безопасности.

Софт навыки

Системное мышление. Оцениваешь влияние архитектурных решений на безопасность продукта, видишь взаимосвязи между компонентами и заранее замечаешь потенциальные риски.
Самостоятельность. Берёшь ответственность за безопасность продукта, умеешь принимать решения и доводить инициативы до результата без постоянного контроля.
Аргументация. Обосновываешь рекомендации фактами, анализом рисков и лучшими практиками, умеешь объяснять сложные технические вопросы разработчикам и другим участникам команды.
Внимание к деталям. Замечаешь потенциальные уязвимости, противоречия и слабые места ещё до того, как они становятся проблемой для команды.
Стремление к развитию. Следишь за современными подходами в Application Security, криптографии и безопасной разработке, постоянно расширяя свои знания.

Этапы отбора

Интервью с HR
Интервью с CTO

Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью.

Присоединяйся к команде, которая делает лучший продукт в своей сфере!

AI-помощник
Источникhh.ru
Опубликовано8 июл.
Просмотры0
Если при отклике просят перевести деньги, назвать код из SMS, войти через чужой аккаунт или установить непонятное приложение — это признаки мошенничества. Не соглашайся и напиши нам через чат с основателем или форму обратной связи.