Senior Application Security / DevSecOps Engineer
OMNICORE — міжнародна продуктово-сервісна компанія у сфері e-commerce. Ми створюємо, розвиваємо та управляємо онлайн-бізнесами провідних гравців fashion-ритейлу, які спеціалізуються на продажу одягу, взуття та аксесуарів.
Ми поєднуємо консалтинг, дизайн, веброзробку, створення контенту, маркетинг, клієнтську підтримку та операційне управління, забезпечуючи ефективну роботу комплексного омніканального e-commerce бізнесу.
Понад 9 років ми допомагаємо нашим партнерам розвивати їхні онлайн-бізнеси. Серед наших клієнтів — маркетплейс md-fashion.ua, ultra-shop.com, adidas.ua, adidas.kz, ua.puma.com, saks85.com, frgroup.kz та інші.
З 2022 року компанія розширила свою діяльність на територію Республіки Казахстан. Ми надаємо повний спектр послуг у форматі eCommerce-as-a-Service (EaaS) та 3PL, виступаючи як фулфілмент-хаб.
Запрошуємо в команду DevSecOps Engineer, який очолить напрямок захисту наших веб- та мобільних продуктів (AppSec/InfrastructureSec), а також забезпечить безпеку хмарної інфраструктури.
Ваше головне завдання – побудувати процес безпечної розробки, допомагаючи командам автоматизувати перевірки та писати захищений код із перших етапів (Shift Left).
Вимоги:
Досвід роботи: Від 5 років у ролі AppSec, DevSecOps або Pentester (зі зміщенням у аналіз вихідного коду).
Знання мов та технологій:
- Розуміння архітектури безпеки PHP 8 (знання сучасних фреймворків на зразок yii2/Laravel/Symfony буде великим плюсом).
- Розуміння архітектури безпеки JS (знання сучасних фреймворків на кшталт Nuxt 3/NodeJS буде великим плюсом).
- Розуміння особливостей розробки та безпеки мобільних додатків на Swift, Kotlin та Flutter.
Інструменти та автоматизація:
- Досвід роботи зі статичними (SAST) та динамічними (DAST) аналізаторами (наприклад: SonarQube, Semgrep, PHPStan/Psalm з плагінами безпеки, MobSF, Burp Suite, OWASP ZAP).
- Вміння працювати з інструментами аналізу сторонніх залежностей (SCA) для моніторингу вразливих бібліотек.
Інфраструктурні навички:
- Досвід аудиту IaC: Terraform (інструменти типу tfsec, checkov) та Ansible (інструменти типу ansible-lint).
- Впевнене володіння Python та Bash для написання утилітарного софту/скриптів автоматизації.
- Розуміння концепцій безпеки контейнерів (Docker) та хмарних середовищ.
Стандарти:
- OWASP ASVS (Application Security Verification Standard): Головний стандарт для тестування веб-застосунків. Спеціаліст буде використовувати його як чек-лист для перевірки вашого бекенда на PHP 8 та API.
- OWASP MASVS (Mobile Application Security Verification Standard): Біблія мобільної безпеки. По ній перевірятимуться збірки на Swift, Kotlin і Flutter (зберігання даних, мережевий обмін, захист від реверсу).
- CIS Benchmarks (Center for Internet Security): Набір найкращих світових практик для налаштування інфраструктури. Фахівець буде використовувати їх для аудиту ваших скриптів Terraform та Ansible, щоб конфігурація серверів та хмар відповідала світовим стандартам захисту.
Обов'язки:
- Забезпечення наскрізної безпеки веб-сервісів на PHP 8 та мобільних застосунків на Swift, Kotlin і Flutter.
- Проведення регулярного аудиту вихідного коду та архітектури продуктів відповідно до стандартів OWASP.
- Автоматизація перевірок інформаційної безпеки в межах CI/CD-пайплайнів.
- Контроль безпеки інфраструктурних скриптів і процесів автоматизації на базі Terraform та Ansible із використанням Python і Bash.
- Побудова та підтримка процесу управління вразливостями, включаючи контроль своєчасності їх усунення.
- Консультування та підтримка команд розробки у виправленні критичних вразливостей і багів до релізу продуктів.
- Розробка та впровадження внутрішніх політик інформаційної безпеки, зокрема щодо керування секретами та використання сторонніх бібліотек.
- Проведення навчання та підвищення обізнаності ІТ-команд щодо найкращих практик захисту продуктів і сервісів.
Буде плюсом:
- Наявність профільних сертифікатів: OSCP, OSWE, eWPTX, CASE (Certified Application Security Engineer) або сертифікатів хмарної безпеки.
- Участь у програмах Bug Bounty або профільних змаганнях CTF.
Умови роботи:
- Повна зайнятість, віддалений формат роботи;
- Молода команда з чудовим почуттям гумору;
- Оплачувана відпустка (24 календарні дні) та лікарняні;
- Індивідуальний бюджет на навчання та професійний розвиток;
- Можливості для кар'єрного зростання;
- Знижки до 20% на продукцію наших партнерів;
- 50% компенсації вартості корпоративного вивчення англійської мови з Preply;
- Виплата заробітної плати в гривні без прив'язки до валютних коливань;
- Графік роботи: понеділок — п'ятниця, 10:00–19:00. Ми працюємо за східноєвропейським часовим поясом (EET).
OMNICORE — це місце, де ви можете стати частиною команди професіоналів, розкрити свій потенціал і розвиватися, працюючи над динамічними e-commerce проєктами для міжнародних fashion-брендів.
Надсилайте своє резюме вже зараз!