Старший инженер по информационной безопасности, Группа безопасности приложений

Привет! Это команда продуктовой безопасности.
На сегодняшний день трудно представить какой-либо большой бизнес без сплочённой и компетентной команды информационной безопасности. Ozon не исключение.

Сейчас мы находимся в поиске нового коллеги в команду Продуктовой безопасности, который пополнит уже существующую команду и будет участвовать в процессах безопасной разработки.

Вы будете

• Внедрять ML/LLM для поиска уязвимостей в коде и улучшать имеющиеся инструменты
• Внедрять практики Code Review
• Развитие требований по безопасности кода, применимых к продуктам внутренних сервисов или системы аутентификации OzonID
• Развивать контроли безопасности, отличные от типичных SAST/DAST/SCA
• Проводить аудиты безопасности сервисов и сопровождать устранение выявленных уязвимостей
• Консультировать команды разработки по вопросам безопасности
• Работать над проектами значимо повышающими уровень безопасности пользователей и сотрудников - повышение безопасности системы аутентификации, инвентаризация изменений в сервисах

Нам важно

• Понимание цикла безопасной разработки ПО (Secure SDLC)
• Практический опыт анализа приложений
• Понимание причин возникновения и принципов эксплуатации уязвимостей
• Понимание принципов устранения основных угроз из OWASP Top 10, CWE Top 25
• Опыт проведения моделирования угроз
• Опыт внедрения security-требований в компании
• Опыт проведения security code review
• Использование Linux на уровне уверенного пользователя
• Знакомство со стандартами безопасности в области разработки ПО (OWASP/MITRE/BSIMM)
• Умение писать код на любом из языков go/python/java/С#/javascript.

Будет плюсом

• Опыт внедрения ML/LLM в задачах безопасности/решения рутинных задач
• Опыт ведения крупных проектов по безопасности, например, внедрение istio, межсервисной авторизации/аутентификации, networkPolicy в k8s, antiSSRF-прокси, Content Security Policy или развитие обучающих программ по безопасности для сотрудников или иные примеры проектов
• Опыт руководства командой или наставничества стажеров/новых сотрудников