Разрабатываем Plesk: панель управления серверами и веб-приложениями, продаваемую в 140 странах мира. Не слышали о нас? Нужно срочно это исправить, так как 6% веб-сайтов в Интернете хостятся на Plesk. Наш R&D работает в Новосибирске, Академгородке и Кёльне. Пишем на PHP, JavaScript, Go, C++, Python, Ruby и Java. Сотрудничаем с Amazon Web Services, Google Cloud, Alibaba Cloud, Microsoft Azure и другими компаниями, входящими в Top 100 хостинговой индустрии.

Описание команды

https://www.youtube.com/watch?v=GCOZfN4iT2I&t=12s

https://plesk.tech/videos/vsyo-cherez-odno-mesto-sobiraem-informaciyu-po-bezopasnosti-ot-raznyh-instrumentov-devsecops-pavel-vasilevich-codefest-21/

Наша команда занимается изучением продуктов и сервисов компании с целью сделать их более безопасными. Мы проводим встречи с разработчиками по моделированию угроз, изучаем код наших продуктов, обсуждаем реализацию решений с точки зрения безопасности. Это означает, что мы сами не правим код наших продуктов, мы нацелены на то, чтобы найти, проанализировать уязвимости, оценить риски и обеспечить этой информацией команды разработки. На текущем этапе мы сильно вкладываемся в DevSecOps практики, то есть встраиваем различные практики и технологии в процесс разработки. Мы координируем работу Bug Bounty программы и взаимодействуем с внешними аудиторами.

Какие будут задачи:

• Отслеживание и анализ уязвимостей в используемых библиотеках и внешних компонентах
• Интеграция процессов и инструментов безопасной разработки DevSecOps для продуктов и сервисов компании (SCA, SAST, DAST, и другие).
• Анализ рисков и моделирование угроз
• Анализ кода, участие в ревью кода и тестирование продукта на наличие уязвимостей и слабых мест
• Работа с внешними аудиторами и программой Bug Bounty

Обязательно:

• Хорошее системное знание Linux и аспектов безопасности системы.
• Понимание сути уязвимостей, как они возникают, как их не допускать.
• Понимание TCP/IP и того, как работают DNS, FTP, SMTP, HTTP, HTTPS
• Понимание TLS, криптографии
• Уметь читать и писать на английском языке

Будет дополнительным плюсом:

• Опыт работы в аналогичной должности
• Опыт интеграции инструментов DevSecOps
• Опыт разработки на любом языке программирования, умение разобраться в чужом коде (PHP, Go, Java, Javascript, Python)
• Опыт работы с облаками (AWS, Google Cloud)
• Опыт работы с Docker, Kubernetes

Пара слов о том, как мы работаем:

• Каждую неделю один человек из команды занимается всеми внешними обращениями, другие члены команды в это время сфокусированно занимаются "стратегическими" задачами. Затем меняемся.
• Раз в две недели проходит встреча security гильдии, где мы обсуждаем с разработчиками насущные проблемы, рассказываем о новых инструментах, формируем вокруг себя группу Security Champion-ов внутри команд разработки.
• Весь документооборот (в Confluence, Jira и почте) ведется на английском языке, будьте готовы много писать и читать.