security engineer

Команда продуктовой безопасности обеспечивает защиту бизнеса и участвует в процессах безопасной разработки Ozon.

• Внедрять ML/LLM для поиска уязвимостей в коде и улучшать имеющиеся инструменты;
• Внедрять практики анализа кода;
• Развивать требования по безопасности кода для внутренних сервисов и системы аутентификации OzonID;
• Развивать контроли безопасности, отличные от типичных SAST/DAST/SCA;
• Проводить аудиты безопасности сервисов и сопровождать устранение выявленных уязвимостей;
• Консультировать команды разработки по вопросам безопасности;
• Работать над проектами по повышению уровня безопасности пользователей и сотрудников, включая систему аутентификации и инвентаризацию изменений в сервисах.

• Понимание цикла безопасной разработки ПО (Secure SDLC);
• Практический опыт анализа приложений;
• Понимание причин возникновения и принципов эксплуатации уязвимостей;
• Понимание принципов устранения основных угроз из OWASP Top 10, CWE Top 25;
• Опыт проведения моделирования угроз;
• Опыт внедрения требований безопасности в компании;
• Опыт проведения анализа безопасности кода;
• Уверенное владение Linux;
• Знание стандартов безопасности в области разработки ПО (OWASP/MITRE/BSIMM);
• Умение писать код на Go, Python, Java, C# или JavaScript;
• Будет плюсом опыт внедрения ML/LLM в задачах безопасности, опыт ведения крупных проектов по безопасности (например, внедрение istio, межсервисной авторизации, networkPolicy в k8s, antiSSRF-прокси, Content Security Policy), опыт развития обучающих программ по безопасности, опыт руководства командой или наставничества.

• Условий в вакансии нет