Мы используем файлы cookie, чтобы обеспечивать правильную работу нашего веб-сайта и анализировать сетевой трафик.
Согласие на обработку и политика в отношении персональных данных

Мы используем файлы cookie. Подробнее

Для работы с нашим сайтом необходимо, чтобы Вы включили JavaScript в вашем браузере.

Соискателям

Работодателям

Готовое резюме

Репетиция собеседования

Все сервисы

Application Security инженер, Ozon Банк

Уровень дохода не указан

Опыт работы: 3–6 лет

Полная занятость

График: 5/2

Рабочие часы: 8

Формат работы: удалённо или гибрид

Откликнуться

Ozon Банк

Открытый

Показывает отзывы от сотрудников

Топ-50

Рейтинга работодателей hh.ru

Победитель

Премии HR-Бренд

IT-компания

У работодателя есть аккредитация

стартап вырос в банк с

млн клиентов

стартап вырос в банк с 35+ млн клиентов

Мы строим финтех как IT‑продукт

Современный стек и микросервисная архитектура

Все самые сложные и важные системы банка реализуем сами

Процессинг, учётное ядро, финансовый мониторинг, переводы, платежи и подписки

Без бюрократических барьеров

Перфоманс-ревью

Подводим итоги работы 2 раза в год для поощрения за достижения и выполнение целей

Офис или удалёнка

Есть офисы в Москве, Питере, Иннополисе, Воронеже, Минске, Астане и Алмате

Каждый год растём х2

Финтех связан с Ozon, но растёт самостоятельно и очень быстро: в прошлом году команда выросла вдвое

Команда информационной безопасности Ozon Банка ищет Application Security инженера в направление продуктовой безопасности. Платежные механики являются сердцем для всех продуктов Ozon и мы активно растем вместе рука об руку, строя самый безопасный цифровой банк для миллионов пользователей, и лучшие финансовые продукты для продавцов маркетплейса.

Мы активно используем лучшие практики и инструментарий ИБ Ozon, чтобы управлять безопасностью приложений, но вместе с тем специфика финансов не допускает многих компромиссов, поэтому мы так же строим локальную инфраструктуру и процессы, дополняющие профиль безопасности продуктов Ozon.

вам предстоит:

Сопровождать разработку новых продуктов (вникать в бизнес процессы, смотреть схемы, челленджить разработчиков возможными угрозами, подруливать в сторону безопасности в бизнес-требованиях, проверять доехала ли безопасность до запуска продукта)
Искать проблемы безопасности в существующих сервисах и непрерывных изменениях (ревьюить документацию, код изменений, схемы БД и логи, проверять возможности реализации теоретических рисков)
Триажить уязвимости со всевозможных сканеров и багбаунти
Втаскивать в пайплайн новые сканеры и следить за здоровьем существующих (обновление рулсета, отключение фолзящих правил, написание новых)
Вести воркшопы для разработки (куда и зачем пихать кавычку, почему {{7*7}} не должно стать 49), крафтить CTF-таски, периодически открывать форточку, чтобы безопасность не становилась душной

вы нам подходите, если:

Ориентируетесь в цикле безопасной разработки SSDLC
Занимались анализом защищённости веб и мобильных приложений
Умеете читать и разбираться в чужом коде и находить в нем проблемы безопасности (в том числе логические)
Умеете обращаться с популярными open source SAST, DAST, SCA инструментами
Внятно изъясняетесь на Bash, Python или Go, SQL

будет плюсом:

Понимаете из чего состоят современные нагруженные веб-приложения
Ориентируетесь в k8s, ci/cd и работали над безопасностью в каких-то их вариантах
Отличаете cherry-pick от пуржа

почему именно у нас:

Свежий и однородный технологический стек
Актуальные appsec инструменты и минимум бюрократии, чтобы добавлять свои
Интересные задачи и неравнодушные к своему делу коллеги

работа
в ozon банке — это