Application Security Specialist

Galaktica — українська продуктова IT-компанія, що з 2019 року створює мобільні застосунки та вебпродукти для ринків Tier-1. У команді 350+ фахівців з провідною експертизою, які працюють з різних куточків світу. Ми розвиваємо міжнародні продукти, експериментуємо з підходами і швидко масштабуємо рішення, які покращують життя мільйонів користувачів.

Важливою складовою бізнесу Galaktica є благодійність. З 2022 року ми спрямували велику кількість волонтерської допомоги в різні напрямки. У першу чергу, підтримка ЗСУ: десятки позашляховиків і комерційних квадрокоптерів, сотні FPV-дронів, НРК з турелями, квадроцикли. Також розвиваємо два благодійні фонди: фокус на реабілітації військових і на підтримці дітей військовослужбовців та постраждалих від війни.

Про роль:

Зараз ми шукаємо фахівця на позицію Application Security Specialist.
Ви будете залученим до забезпечення стратегічного та операційного управління інформаційною безпекою продукту, та розвитку культури безпеки в організації.
Якщо у вас досвід в області організації інформаційної безпеки та прагнення побудувати надійну систему захисту ми чекаємо в команді саме на вас!

Чим ми вам будемо корисні:

• Одна з ключових ролей у побудові системи IS;
• Pеальний вплив на безпеку бізнесу;
• Робота з топовими інструментами і живими процесами.

На даній посаді вам необхідно буде вирішити наступні задачі:​

• Провести security assessment веб-додатків, API та backend систем;
• Проаналізувати код і поведінку систем для виявлення вразливостей;
• Надати рекомендації щодо усунення вразливостей;
• Інтегрувати вимоги безпеки у процес розробки (Secure SDLC);
• Провести design review та security review архітектури;
• Побудувати та покращити процеси SSDLC;
• Інтегрувати security checks у CI/CD pipelines;
• Налаштувати та оптимізувати SCA/SAST/DAST інструменти;
• Забезпечити контроль lifecycle виправлення вразливостей;
• Проконсультувати розробників щодо secure coding практик;
• Забезпечити баланс між вимогами безпеки та продуктивністю продукту.

Які навички та критерії нам зараз важливі:​

• Глибоке розуміння web application security (OWASP Top 10, auth flaws, injection, тощо);
• Досвід проведення security assessment (web/API/backend систем);
• Практичний досвід роботи з: SCA/SAST/DAST інструментами, BurpSuite/OWASP ZAP;
• Розуміння та досвід впровадження Secure SDLC (SSDLC);
• Досвід manual testing/code review з точки зору безпеки;
• Базове розуміння архітектури веб-додатків і API;
• Розуміння принципів authentication/authorization (OAuth2, JWT, SSO);
• Досвід роботи з CI/CD (GitLab CI/GitHub Actions/Jenkins).

Буде плюсом:​

• досвід threat modeling (STRIDE/MITRE ATT&CK);
• розуміння container security (Docker/Kubernetes);
• робота з supply chain security (SCA, SBOM).

Що ми раді вам запропонувати:​

• Формат роботи: обирайте, як вам зручніше — віддалено, гібридно або в офісі в Києві, Львові, Одесі чи на Кіпрі (Ларнака). Усі українські офіси обладнані генераторами зі Starlink і доступні для команди 24/7. Робочий графік — з 10:00 до 18:30;
• Обладнання: надаємо все необхідне для комфортної роботи та для вирішення масштабних завдань, експериментів — ноутбук/ПК/додаткові монітори чи спеціалізовані гаджети;
• Безпека та страховка: ми не лише слідкуємо за рівнем задоволеності співробітників, а й дбаємо про вас у скрутні моменти. Кожен співробітник має медичне страхування за рахунок компанії (на території України) або грошову компенсацію на спорт;
• Відпочинок та баланс: 3 тижні оплачуваної відпустки щороку, необмежені day off та гнучкі sick leaves без зайвої бюрократії. Ми довіряємо команді, тому підтримуємо здоровий баланс між роботою та особистим життям;
• Колеги та атмосфера: люди, які вас оточують, визначають рівень життя та розвиток. Завдяки якісним етапам співбесіди, ми підбираємо найкращих з найкращих. Ви працюватимете зі справжніми професіоналами у своїй сфері;
• Безперервний розвиток: оплачуємо тренінги, семінари, онлайн-курси, конференції. Маємо власну LMS-систему, бібліотеку та книжковий клуб, які об’єднують тих, хто не зупиняється в навчанні. Крім того, у нас є 3 сертифіковані коучи, які проводять внутрішні навчання та персональні коуч-сесії для співробітників — це допомагає краще розуміти себе, прокачувати лідерські навички та досягати професійних цілей;
• Англійська мова: виділяємо бюджет на індивідуальні заняття та маємо Speaking Club, щоб ви прокачали свою англійську мову та забули про будь-які бар’єри;
• Спортивні активності: долучайтеся до корпоративних тренувань з волейболу, бігу або йоги щотижня, які повністю оплачує компанія. Ми вже пробігли не один марафон, адже наші тренери — справжні професіонали;
• Командний дух: ми регулярно проводимо тімбілдінги від виїзних до затишних зустрічей в офісі. Це чудовий шанс познайомитись ближче й зарядитись енергією команди. Атмосферу наших івентів можна відчути тут — YouTube Galaktica.

🚀 Наша мета

Побудувати продуктову IT екосистему різних напрямків, у якій кожен співробітник матиме можливість відкривати внутрішні стартапи, рости та реалізовувати свої ідеї. Приєднуйтеся!

🔗 Дізнайтесь більше про нас:

🌐 Galaktica — офіційний сайт

📸 Instagram (@galakticateam) — команда та процес зсередини

🎥 Galaktica. Візитівка — відео-візитівка

Будемо раді обговорити всі ваші запитання та запросити вас на співбесіду!

Наголошуємо, ми зв’яжемося з вами будь-яким зручним способом для детального обговорення нашої вакансії у разі зацікавленості команди у вашій кандидатурі!