Инженер по безопасности приложений
Wrike — самая мощная платформа для управления работой. Созданная для команд и организаций, стремящихся к совместной работе, творчеству и ежедневному превосходству, Wrike объединяет всех и всю работу в одном месте, чтобы устранить сложность, повысить продуктивность и освободить людей для сосредоточения на их самой значимой работе.
Наша миссия: Мир, в котором каждый свободен сосредоточиться на своей самой значимой работе вместе с другими.
О роли:
Мы ищем инженера по безопасности приложений, который поможет нашим продуктовым командам создавать и выпускать продукты с безопасностью по умолчанию. В этой роли вы будете тесно сотрудничать с инженерными командами для раннего выявления рисков, укрепления практик безопасного проектирования и кодирования, а также помогать командам безопасно выпускать функции без создания ненужных препятствий.
Ваш вклад:
- Ведение регулярных мероприятий по безопасности приложений для нескольких продуктовых команд, включая обзоры безопасного проектирования, моделирование угроз, обзор кода, проверку тестирования и рекомендации по устранению уязвимостей.
- Оценка уязвимостей и результатов сканеров, тестирования, отчетов об ошибках и внутренних проверок; отделение значимых рисков от шума и помощь командам в фокусировке на самых важных вопросах.
- Проверка исправлений безопасности и рекомендации компенсирующих мер или практических альтернатив, когда идеальное устранение невозможно немедленно.
- Улучшение повседневных рабочих процессов AppSec путем настройки проверок, уточнения правил, повышения качества триажа и более эффективной интеграции безопасности в рабочие процессы разработчиков и CI/CD пайплайны.
- Помощь инженерам в понимании результатов безопасности в практических терминах продукта путем предоставления четкой приоритизации и действенных рекомендаций по устранению.
- Вклад в практики разработки с безопасностью по умолчанию путем укрепления стандартов, эталонных шаблонов и ожиданий по обзорам.
- Использование структурированных AI-рабочих процессов для поддержки сложного анализа AppSec, такого как обзор более широкого кода, декомпозиция дизайна, подготовка к обзорам и синтез документации, при этом поддерживая четкие ограничения по гигиене запросов и контекста, человеческий контроль и качество результатов.
Ваши квалификации:
- Глубокие практические знания распространенных проблем безопасности веб и API, концепций аутентификации и управления сессиями, обработки секретов и основ безопасного кодирования.
- Подтвержденный опыт проведения обзоров безопасного кода в современных инженерных средах, особенно на Java, TypeScript и PHP, с умением ясно объяснять уязвимости и сотрудничать для эффективного устранения.
- Опыт проведения или фасилитации регулярного моделирования угроз для продуктовых функций или сервисов и преобразования результатов в практические требования по безопасности.
- Опыт управления инструментами безопасности приложений, такими как SAST, SCA, DAST и решения для сканирования секретов, а также платформами bug bounty, с акцентом на интеграцию с CI/CD, снижение ложных срабатываний и улучшение качества сигналов.
- Рабочие знания OAuth/OIDC, аутентификации сервис-сервис, управления секретами и базовых концепций безопасности облака или контейнеров.
- Умение приоритизировать находки на основе возможности эксплуатации, степени воздействия, бизнес-эффекта и усилий по устранению, а не только на основе уровней серьезности.
- Сильные навыки письменного и устного общения, способность эффективно работать с инженерами, техническими лидерами и заинтересованными сторонами продукта.
- Здравый смысл при использовании AI-поддерживаемых рабочих процессов, рассматривая AI как помощника, а не авторитет, и проверяя правильность, возможность эксплуатации и бизнес-контекст перед принятием решений.
Особые качества:
- Опыт создания автоматизаций AppSec, улучшения рабочих процессов разработчиков или настройки средств безопасности в CI/CD средах.
- Опыт предоставления практических рекомендаций по безопасному кодированию или проведения легких внутренних тренингов по безопасности.
- Опыт работы с системами, чувствительными к конфиденциальности, облачными сервисами или многосервисной архитектурой.
- Опыт поддержки безопасности функций AI/ML продуктов, систем с интегрированными моделями или управления AI-поддерживаемыми инженерными рабочими процессами.
Динамика команды:
Вы будете тесно сотрудничать с командами backend, frontend, мобильной разработки, платформы, QA и продуктовых команд ежедневно, а также взаимодействовать с коллегами из отделов безопасности, инфраструктуры и комплаенса. Успех в этой роли потребует построения доверительных отношений с инженерами, четкой коммуникации и перевода вопросов безопасности в практические рекомендации, которые команды смогут быстро принять.
Наш стиль работы:
Это совместная, практическая роль, встроенная в жизненный цикл разработки программного обеспечения. Вы будете тесно работать с продуктовыми и инженерными командами, интегрируя безопасность в процессы проектирования, разработки и доставки, помогая создавать решения с безопасностью по умолчанию без замедления работы команд.
Вы будете использовать сочетание практик безопасного обзора, моделирования угроз, инструментов AppSec, интеграций CI/CD и структурированного AI-поддерживаемого анализа для поддержки высококачественных решений по безопасности. Особую значимость этой роли придает возможность влиять как на безопасность продукта, так и на опыт разработчиков в масштабе, помогая командам быстро двигаться вперед, создавая при этом безопасные решения.
Почему стоит присоединиться к Wrike?
- 5 недель оплачиваемого отпуска
- Компенсация больничных
- Отпуск по уходу за ребенком (полностью оплачиваемый): 18 недель по беременности и родам / 4 недели по уходу за отцом
- Гибридный режим работы
Что дальше?
- Вводный звонок с рекрутером
- Техническое интервью
- Культурное интервью
Вашим рекрутером будет Александар Чернев, старший технический рекрутер.
