AppSec инженер / Инженер по безопасной разработке
Bnovo
Навыки
Описание
О Пассворке
Пассворк — корпоративный менеджер паролей для бизнеса и государственных организаций.
Безопасность лежит в основе продукта. Мы развиваем собственную криптографическую модель с клиентским шифрованием (Zero Knowledge), поддерживаем двухфакторную аутентификацию, гибкое разграничение прав доступа и безопасный обмен секретами. В продукте — браузерное расширение, мобильные приложения и интеграции с корпоративной инфраструктурой.
Наш стек:
- Backend: PHP, Symfony, MongoDB, PostgreSQL, REST API;
- Web: TypeScript, React;
- Mobile: React Native (iOS и Android);
- Интеграции и SDK: TypeScript и Python.
Процессы безопасной разработки уже выстроены: анализ кода, контроль зависимостей, тестирование безопасности. Ищем специалиста, который возьмёт на себя безопасность продукта и будет развивать эти процессы дальше.
О роли
Мы ищем инженера по безопасной разработке, который станет внутренним экспертом по безопасности продукта и будет участвовать во всех этапах его создания — от проектирования новых функций до анализа уязвимостей и развития процессов SDLC.
Это не роль администратора безопасности, специалиста по соответствию стандартам или SOC-аналитика.
Главная задача — сделать безопасность частью процесса разработки: помогать команде принимать правильные архитектурные решения, выявлять потенциальные риски до начала разработки и предотвращать появление уязвимостей ещё на этапе проектирования.
Что мы предлагаем
Мы ценим своих сотрудников и стремимся создать комфортные условия для всех: гибкий рабочий график, удалённый формат работы, дружескую атмосферу в коллективе, свободный дресс-код и уютные офисы в Архангельске и Санкт-Петербурге.
- Работа удаленно или в офисе — ты сам выбираешь удобный формат.
- График. С 10:00 до 18:00 по МСК.
- Компенсация курсов и занятий спортом. Частично возмещаем оплату языковых курсов и занятий спортом, полностью компенсируем профессиональные курсы.
- Официальное оформление. Оформляем по ТК РФ в штат.
- Аккредитация IT компании. Дает дополнительные преимущества для сотрудников.
- Неформальное общение и отсутствие бюрократии. Общаемся на «ты» и строим горизонтальные связи — можно легко написать любому человеку в команде.
- Рост и влияние на культуру. Развиваешь процессы безопасной разработки и формируешь культуру безопасности внутри команды.
- Задачи на стыке разработки, криптографии и архитектуры. Не узкая специализация, а широкий технический контекст.
Условия и ожидания
Обязанности
- Участвовать в проектировании новых функций и архитектурных решений, формировать требования безопасности на этапе проектирования.
- Участвовать в развитии криптографической архитектуры: анализировать схемы шифрования, управление ключами и механизмы хранения и обмена секретами.
- Поддерживать актуальность криптографической документации.
- Консультировать и обучать разработчиков, участвовать в разработке внутренних стандартов и рекомендаций.
- Проверять безопасность веб-приложения, API, мобильных приложений и браузерного расширения, включая механизмы аутентификации, авторизации и разграничения доступа.
- Анализировать результаты автоматических проверок, проводить триаж, сопровождать процессы устранения уязвимостей.
- Взаимодействовать с внешними исследователями безопасности, сопровождать программу Bug Bounty, участвовать в разборе инцидентов.
- Сопровождать и развивать инструменты анализа безопасности, настраивать правила проверок, внедрять новые практики и инструменты.
Опыт и навыки
- Опыт работы в области Application Security или безопасной разработки от 3 лет.
- Опыт участия в проектировании безопасной архитектуры приложений.
- Практический опыт моделирования угроз и анализа безопасности веб-приложений и API.
- Понимание принципов безопасной разработки, аутентификации, авторизации и разграничения доступа.
- Понимание принципов современной криптографии и управления ключами.
- Умение читать код как минимум на одном из языков: PHP, TypeScript/JavaScript или Python.
- Умение объяснять технические риски разработчикам и другим участникам команды простым и понятным языком.
Будет плюсом
- Опыт работы с продуктами, использующими клиентское шифрование или модель Zero Knowledge.
- Опыт участия в Bug Bounty программах или проведения внутренних пентестов.
- Опыт работы с мобильными приложениями и браузерными расширениями.
- Понимание принципов защиты Kubernetes и облачной инфраструктуры.
- Наличие профильных сертификатов в области информационной безопасности.
Софт навыки
- Системное мышление. Оцениваешь влияние архитектурных решений на безопасность продукта, видишь взаимосвязи между компонентами и заранее замечаешь потенциальные риски.
- Самостоятельность. Берёшь ответственность за безопасность продукта, умеешь принимать решения и доводить инициативы до результата без постоянного контроля.
- Аргументация. Обосновываешь рекомендации фактами, анализом рисков и лучшими практиками, умеешь объяснять сложные технические вопросы разработчикам и другим участникам команды.
- Внимание к деталям. Замечаешь потенциальные уязвимости, противоречия и слабые места ещё до того, как они становятся проблемой для команды.
- Стремление к развитию. Следишь за современными подходами в Application Security, криптографии и безопасной разработке, постоянно расширяя свои знания.
Этапы отбора
- Интервью с HR
- Интервью с CTO
Мы ищем не просто сотрудника, а единомышленника, с которым будем вместе создавать ценный и качественный продукт для наших клиентов. Если чувствуешь, что мы подходим друг другу — ждём тебя на интервью.
Присоединяйся к команде, которая делает лучший продукт в своей сфере!
150 000 – 300 000 ₽
Откликнуться на сайте компании ↗Работодатель
Опубликовано 08.07.2026
Источник
обновлено 08.07.2026
Подать заявку нужно на сайте источника. Мы не храним контактные данные работодателя.
Похожие вакансии
Все вакансии: AppSec / SSDLC →Bnovo · источник: HeadHunter (hh.ru)
Зарплата не указана
сегодня
Bnovo · источник: HeadHunter (hh.ru)
Зарплата не указана
вчера
Bnovo · источник: HeadHunter (hh.ru)
Зарплата не указана
2 дн. назад