Специалист по анализу уязвимостей (AppSec)

Описание

• проведение динамического и статического анализа исходного кода ПО;
• проведение фаззинг тестирования ПО;
• проведение компонентного анализа ПО;
• анализ результатов исследований, верификация обнаруженных уязвимостей, определение их критичности и подготовка рекомендаций по устранению;
• подготовка отчетов о найденных уязвимостях и ошибках, контроль и помощь разработчикам в их устранении;
• воспроизведение уязвимостей;
• работа с системами CI/CD.

Требования:

• образование: высшее техническое (предпочтительно в сфере ИБ);
• опыт применения инструментов безопасной разработки (SAST, DAST и других);
• опыт написания обёрток для фаззинг-тестов и настройки фаззеров AFL++, libFuzzer;
• знание стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (OWASP, ФСТЭК, NIST);
• знание и понимание ГОСТ 56939-2024;
• понимание принципов построения векторов атак на целевые системы и формирования поверхности атаки;
• понимание принципов построения процессов CI/CD/DevSecOps;
• опыт работы с Git, Gitea /GitLab, Jenkins/GitLab CI;
• знание и опыт использования систем сборки Make;
• умение читать исходный код на С, С++, Python;
• умение писать скрипты для автоматизации рутинных задач на Python, bash;
• опыт проведения code review с целью выявления недостатков в части ИБ;
• знание ОС семейства Linux на уровне опытного пользователя;
• знание английского на уровне чтения технической документации.

Плюсом будет:

• знание нормативных документов ФСТЭК и ФСБ в части сертификации программного обеспечения;
• опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки;
• опыт работы с одним или несколькими инструментами CI/CD (GitLab CI/Jenkins);
• опыт разработки на C/C++;
• знание стандартов, фреймворков и лучших мировых практик по разработке безопасного программного обеспечения;
• знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта;
• опыт внедрения процессов РБПО/SDL в компании.

Условия:

• Работа в аккредитованной ИТ-компании;

• Заработная плата по результатам собеседования;
• Работа в офисе в Москве;
• Испытательный срок до 3 месяцев;
• Полная занятость;
• Индивидуальные проектные премии и премии по итогам деятельности компании;

• Возможность карьерного роста внутри компании;

• Бонусы: чай, кофе, легкие закуски, ДМС, фитнес.