Job VC

Senior Application Security / DevSecOps Engineer

OMNICORE · djinni · $$$$ · Тільки віддалено Країни Європи та Україна
Open original ↗

OMNICORE
— міжнародна продуктово-сервісна компанія у сфері e-commerce. Ми створюємо, розвиваємо та управляємо онлайн-бізнесами провідних гравців fashion-ритейлу, які спеціалізуються на продажу одягу, взуття та аксесуарів.
Ми поєднуємо консалтинг, дизайн, веброзробку, створення контенту, маркетинг, клієнтську підтримку та операційне управління, забезпечуючи ефективну роботу комплексного омніканального e-commerce бізнесу.
Понад 9 років ми допомагаємо нашим партнерам розвивати їхні онлайн-бізнеси. Серед наших клієнтів — маркетплейс md-fashion.ua, ultra-shop.com, adidas.ua, adidas.kz, ua.puma.com, saks85.com, frgroup.kz та інші.
З 2022 року компанія розширила свою діяльність на територію Республіки Казахстан. Ми надаємо повний спектр послуг у форматі eCommerce-as-a-Service (EaaS) та 3PL, виступаючи як фулфілмент-хаб.
Запрошуємо в команду
DevSecOps Engineer
, який очолить напрямок захисту наших веб- та мобільних продуктів (AppSec/InfrastructureSec), а також забезпечить безпеку хмарної інфраструктури.
Ваше головне завдання –  побудувати процес безпечної розробки, допомагаючи командам автоматизувати перевірки та писати захищений код із перших етапів (Shift Left).
Вимоги:
Досвід роботи: Від 5 років у ролі AppSec, DevSecOps або Pentester (зі зміщенням у аналіз вихідного коду).
Знання мов та технологій:
Розуміння архітектури безпеки PHP 8 (знання сучасних фреймворків на зразок yii2/Laravel/Symfony буде великим плюсом).
Розуміння архітектури безпеки JS (знання сучасних фреймворків на кшталт Nuxt 3/NodeJS буде великим плюсом).
Розуміння особливостей розробки та безпеки мобільних додатків на Swift, Kotlin та Flutter.
Інструменти та автоматизація:
Досвід роботи зі статичними (SAST) та динамічними (DAST) аналізаторами (наприклад: SonarQube, Semgrep, PHPStan/Psalm з плагінами безпеки, MobSF, Burp Suite, OWASP ZAP).
Вміння працювати з інструментами аналізу сторонніх залежностей (SCA) для моніторингу вразливих бібліотек.
Інфраструктурні навички:
Досвід аудиту IaC: Terraform (інструменти типу tfsec, checkov) та Ansible (інструменти типу ansible-lint).
Впевнене володіння Python та Bash для написання утилітарного софту/скриптів автоматизації.
Розуміння концепцій безпеки контейнерів (Docker) та хмарних середовищ.
Стандарти:
OWASP ASVS (Application Security Verification Standard): Головний стандарт для тестування веб-застосунків. Спеціаліст буде використовувати його як чек-лист для перевірки вашого бекенда на PHP 8 та API.
OWASP MASVS (Mobile Application Security Verification Standard): Біблія мобільної безпеки. По ній перевірятимуться збірки на Swift, Kotlin і Flutter (зберігання даних, мережевий обмін, захист від реверсу).
CIS Benchmarks (Center for Internet Security): Набір найкращих світових практик для налаштування інфраструктури. Фахівець буде використовувати їх для аудиту ваших скриптів Terraform та Ansible, щоб конфігурація серверів та хмар відповідала світовим стандартам захисту.
Обов'язки:
Забезпечення наскрізної безпеки веб-сервісів на PHP 8 та мобільних застосунків на Swift, Kotlin і Flutter.
Проведення регулярного аудиту вихідного коду та архітектури продуктів відповідно до стандартів OWASP.
Автоматизація перевірок інформаційної безпеки в межах CI/CD-пайплайнів.
Контроль безпеки інфраструктурних скриптів і процесів автоматизації на базі Terraform та Ansible із використанням Python і Bash.
Побудова та підтримка процесу управління вразливостями, включаючи контроль своєчасності їх усунення.
Консультування та підтримка команд розробки у виправленні критичних вразливостей і багів до релізу продуктів.
Розробка та впровадження внутрішніх політик інформаційної безпеки, зокрема щодо керування секретами та використання сторонніх бібліотек.
Проведення навчання та підвищення обізнаності ІТ-команд щодо найкращих практик захисту продуктів і сервісів.
Буде плюсом:
Наявність профільних сертифікатів: OSCP, OSWE, eWPTX, CASE (Certified Application Security Engineer) або сертифікатів хмарної безпеки.
Участь у програмах Bug Bounty або профільних змаганнях CTF.
Умови роботи:
Повна зайнятість, віддалений формат роботи;
Молода команда з чудовим почуттям гумору;
Оплачувана відпустка (24 календарні дні) та лікарняні;
Індивідуальний бюджет на навчання та професійний розвиток;
Можливості для кар'єрного зростання;
Знижки до 20% на продукцію наших партнерів;
50% компенсації вартості корпоративного вивчення англійської мови з Preply;
Виплата заробітної плати в гривні без прив'язки до валютних коливань;
Графік роботи: понеділок — п'ятниця, 10:00–19:00. Ми працюємо за східноєвропейським часовим поясом (EET).
OMNICORE
— це місце, де ви можете стати частиною команди професіоналів, розкрити свій потенціал і розвиватися, працюючи над динамічними e-commerce проєктами для міжнародних fashion-брендів.
Надсилайте своє резюме вже зараз!