Application Security Engineer (A-Team)
Компания: Wildberries
Локация: Москва
О компании
Wildberries — это международная технологическая компания, образованная в результате слияния двух лидеров рынка: IT-компании Wildberries и оператора наружной рекламы Russ. Объединив свои усилия, обе компании активно развивают области информационной безопасности, выделяя это направление как одно из приоритетных. В рамках своей деятельности они решают множество сложных задач, направленных на повышение защищенности сервисов и развитие безопасности всей инфраструктуры.
Ключевые факты:
- Объединение Wildberries и Russ
- Лидеры на рынке IT и наружной рекламы
- Акцент на информационную безопасность
- Разработка и внедрение новых решений для защиты приложений и сервисов
О вакансии
В команде архитектуры Wildberries открыта вакансия для Application Security Engineer. Вы будете заниматься обеспечением безопасности приложений, работая с микросервисной архитектурой и погружаясь в бизнес-процессы компании. Ваша задача — анализировать и улучшать безопасность на всех уровнях приложения, взаимодействуя с различными командами для продвижения безопасности как основного приоритета.
Очень важно иметь не только технические знания, но и навыки эффективного общения, чтобы находить компромиссы и активно участвовать в переговорах по вопросам безопасности. Вы будете работать в обучающей среде, где ваши идеи и инициативы будут поддержаны и обсуждены с другими специалистами.
Чем предстоит заниматься:
- Проводить аудит безопасности приложений в формате grey-box, включая анализ кода и архитектуры
- Изучать архитектурные схемы и выявлять уязвимости на этапах архитектурного планирования
- Оценивать методы аутентификации, авторизации и сессий, включая клиентские и межсервисные протоколы
- Проверять и улучшать ролевые модели доступа (RBAC, ABAC и др.)
- Исследовать платформенные решения для безопасности архитектуры сервисов и пользователей
- Проводить security code review
Что мы предлагаем:
- Участие в сложных и интересных проектах по обеспечению безопасности
- Возможность взаимодействия с различными командами и улучшения бизнес-процессов
- Достаточно гибкой атмосферы для внедрения эффективных решений в области безопасности
Обязанности
- Проводить аудит безопасности приложений в формате grey-box
- Изучать архитектурные схемы для выявления уязвимостей
- Оценивать методы аутентификации и авторизации
- Проверять ролевые модели доступа
- Исследовать платформенные решения для безопасности
- Проводить security code review
- Взаимодействовать с различными командами для продвижения безопасности
Требования
- Все вакансии
- Попасть в команду
- Строительство
- Сервисные позиции
- Все вакансии
- Попасть в команду
- Строительство
- Сервисные позиции
- Проводить аудит безопасности приложений в формате grey-box, включая анализ кода и архитектуры;
- Заниматься изучением архитектурных схем и диаграмм последовательностей, выявлением уязвимостей на этапах архитектурного планирования;
- Оценивать и анализировать методы аутентификации, авторизации и сессий, включая клиентские и межсервисные протоколы;
- Осуществлять проверку и улучшение ролевых моделей доступа (RBAC, ABAC, и др.
- Исследовать платформенные решения для обеспечения безопасности архитектуры сервисов и пользователей.
- Имеете уверенные технические знания в области аутентификации, авторизации и защиты сессий (OAuth 2. 0, OpenID Connect, JWT, и др.
- Имеете опыт работы с микросервисной архитектурой, межсервисными протоколами и современными подходами безопасности (Zero Trust, mTLS, service mesh);
- Умеете проводить security code review;
- Имеете глубокое понимание в веб уязвимостях (OWASP Top 10);
- Имеете навыки коммуникации и ведения кросс-командных взаимодействий: поиск компромиссов, аргументация решений и продвижение инициатив безопасности;
- Имеете способность собрать рабочую группу и эффективно вести встречи, фиксируя результаты и двигать задачи вперёд;
- Обладаете гибкостью и умением найти баланс между безопасностью и бизнес-целями, предлагая решения, которые помогают достигать целей компании.