Security engineer

от 150 000 до 300 000 руб. на руки

Требуемый опыт работы: 3–6 лет

Полная занятость, удаленная работа

Разрабатываем Plesk: панель управления серверами и веб-приложениями, продаваемую в 140 странах мира. Не слышали о нас? Нужно срочно это исправить, так как 6% веб-сайтов в Интернете хостятся на Plesk. Наш R&D работает в Новосибирске, Академгородке и Кёльне. Пишем на PHP, JavaScript, Go, C++, Python, Ruby и Java. Сотрудничаем с Amazon Web Services, Google Cloud, Alibaba Cloud, Microsoft Azure и другими компаниями, входящими в Top 100 хостинговой индустрии.

Описание команды

https://www.youtube.com/watch?v=GCOZfN4iT2I&t=12s

https://plesk.tech/videos/vsyo-cherez-odno-mesto-sobiraem-informaciyu-po-bezopasnosti-ot-raznyh-instrumentov-devsecops-pavel-vasilevich-codefest-21/

Наша команда занимается изучением продуктов и сервисов компании с целью сделать их более безопасными. Мы проводим встречи с разработчиками по моделированию угроз, изучаем код наших продуктов, обсуждаем реализацию решений с точки зрения безопасности. Это означает, что мы сами не правим код наших продуктов, мы нацелены на то, чтобы найти, проанализировать уязвимости, оценить риски и обеспечить этой информацией команды разработки. На текущем этапе мы сильно вкладываемся в DevSecOps практики, то есть встраиваем различные практики и технологии в процесс разработки. Мы координируем работу Bug Bounty программы и взаимодействуем с внешними аудиторами.

Какие будут задачи:

  • Отслеживание и анализ уязвимостей в используемых библиотеках и внешних компонентах
  • Интеграция процессов и инструментов безопасной разработки DevSecOps для продуктов и сервисов компании (SCA, SAST, DAST, и другие).
  • Анализ рисков и моделирование угроз
  • Анализ кода, участие в ревью кода и тестирование продукта на наличие уязвимостей и слабых мест
  • Работа с внешними аудиторами и программой Bug Bounty

Обязательно:

  • Хорошее системное знание Linux и аспектов безопасности системы.
  • Понимание сути уязвимостей, как они возникают, как их не допускать.
  • Понимание TCP/IP и того, как работают DNS, FTP, SMTP, HTTP, HTTPS
  • Понимание TLS, криптографии
  • Уметь читать и писать на английском языке

Будет дополнительным плюсом:

  • Опыт работы в аналогичной должности
  • Опыт интеграции инструментов DevSecOps
  • Опыт разработки на любом языке программирования, умение разобраться в чужом коде (PHP, Go, Java, Javascript, Python)
  • Опыт работы с облаками (AWS, Google Cloud)
  • Опыт работы с Docker, Kubernetes

Пара слов о том, как мы работаем:

  • Каждую неделю один человек из команды занимается всеми внешними обращениями, другие члены команды в это время сфокусировано занимаются "стратегическими" задачами. Затем меняемся.
  • Раз в две недели проходит встреча security гильдии, где мы обсуждаем с разработчиками насущные проблемы, рассказываем о новых инструментах, формируем вокруг себя группу Security Champion-ов внутри команд разработки.
  • Весь документооборот (в Confluence, Jira и почте) ведется на английском языке, будьте готовы много писать и читать.
  • Обсуждение конкретного предложения по заработной плате - вопрос, который открыт до прохождения кандидатом всех этапов интервью.

Ключевые навыки

Английский — B2 — Средне-продвинутый
Информационная безопасность
Защита информации
Linux
Хостинг
Bug bounty
DevSecOps
software composition analysis
SonarQube
ZAP
OWASP
AWS
CONTAINERS
DOCKER
KUBERNETES
Burp

Вакансия опубликована 6 декабря 2021 в Екатеринбурге

Похожие вакансии