Мы – Dodo Brands, компания, которая развивает несколько брендов: Додо Пицца, и digital-кофейни Дринкит. Всей IT частью занимается компания Dodo Engineering. Нас около 350 человек.
Наши бизнесы развиваются в 22 странах мира и насчитывают более 1000 точек. И мы не собираемся останавливаться!

О проекте/команде:

Команда ИБ сейчас состоит из 3х человек:
IS head, Anti-fraud аналитик и IS-эксперт.

Нагрузка на нашу информационную систему удваивается каждый год: до 350 заказов в минуту в будни, 600 заказов в минуту в пики; 21 млн клиентов, MAU в среднем 3 млн; 40K+ сотрудников работает во всей сети; Маркетингу нужны новые фичи для клиентов, бизнесу для производства, а глобальные цели требуют инвестиций в качество, устранения технического долга, замены устаревающих технологий.

В этих условиях мы хотим чтобы наши сервисы работали безотказно, были защищены от атак, а данные наших клиентов никуда не утекали. Поэтому мы активно вкладываемся в защиту наших приложений и сейчас ищем к себе в штат опытного AppSec специалиста, который поможет нашим разработчикам и командам инфраструктуры разрабатывать все более надежные и безопасные системы.

Чем предстоит заниматься:

Защищать внешний периметр наших систем;
Управлять системами защиты от DDoS атак, антиботами и WAF’ами;
Участвовать в разборе отчетов по уязвимостям, полученным от участников программы Bug Bounty, внешних сканеров безопасности и из других источников;
Исследовать наши веб-сайты и наши мобильные приложения на предмет уязвимостей;
Помогать в развитии систем мониторинга и реагирования на атаки на наши приложения;
При желании — есть возможность погружаться во все остальные аспекты работы с информационной безопасностью: от настройки Кубернетеса до аудитов ИБ в бизнес-подразделениях, или даже сменить род деятельности и стать, например, SRE. Несмотря на масштабы, мы не энтерпрайз и поощряем развитие в смежных областях и внутренние переходы.
Что мы ожидаем:
Опыт работы пентестером, участие в BugBounty программах, или CTF челленджах
Опыт и экспертизу в роли Application Security специалиста;
Опыт выстраивания защиты от DDoS атак
Опыт настройки и использования различных инструментов анализа безопасности приложений, таких как SAST, DAST, сканеров безопасности и т.п.;
Навыки работы с Kubernetes и понимание его особенностей;
Готовность читать и разбираться в чужом коде;
Хорошее понимание основных типов проблем приложений (например OWASP Top 10);
Умение и готовность общаться с людьми и помогать им.

Будет плюсом:
Опыт защиты больших enterprise-систем;
Знание языков программирования, таких как C# или Java;
Опыт работы с публичными облаками;
Опыт выстраивания CI/CD в GitHub;
Глубокое понимание риск-ориентированных подходов при выстраивании процессов информационной безопасности.
Что мы предлагаем:
Гибкость — строим гипотезы, спорим, договариваемся, адаптируемся;
Нет бюрократии и KPI. Только цель;
Международный продукт и развитие на новых рынках;
Удаленная работа из любой точки мира с командировками в страны присутствия;
Оплачиваем профильное обучение, купим билет на конференцию и необходимые книги;
Помогаем публично выступить, прокачать тебя как автора статей, раскрутить в комьюнити;
Частичная компенсация английского языка в Skyeng и сессий психолога в Alter;
ДМС со стоматологией, первого рабочего дня.