Специалист по анализу защищенности программного обеспечения

Задачи:

На данной позиции необходимо проводить аудит сервисов и решений на наличие уязвимостей и ошибок бизнес-логики в форматах white/gray/black box, принимать участие в исследовании проблемы различных технологий, участвовать в профильной жизни компании на различных конференциях.

Требования к кандидатам:

• понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.) и основных проблем безопасности;
• понимание принципов работы современных операционных систем и основных проблем безопасности;
• понимание принципов работы систем защиты;
• знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
• опыт разработки программного обеспечения;
• понимание следующих ЯП: Python, Java, Kotlin, PHP, JavaScript, GoLang, C/C++;
• понимание тактик компьютерных атак и их обнаружения;
• знание основных методик оценки защищенности систем (OSSTM, OWASP и другие);
• знание принципов работы приложений и абстракций известных операционных систем (Windows, Linux, MacOS);
• знание best-practises по написанию исходного кода;
• понимание основных проблем безопасности high и low level программных решений;
• опыт fuzzing-тестирования (afl, boofuzz, sharpfuzz и аналоги), статического и экспертного анализа исходного кода (SAST), анализа зависимых компонент из общего доступа (SCA/OSA), но не ограничиваясь;
• знание принципов безопасности облаков, контейнеров и CI/CD окружения.

Будет плюсом:

• выступление на профильных конференциях по информационной безопасности;
• умение моделировать угрозы с использованием популярных фреймворков;
• наличие подтверждающих сертификатов в области анализа защищенности и информационной безопасности.