Application Security Specialist (ЛОЦМАН:PLM)

Компания АСКОН приглашает к сотрудничеству опытного Специалиста по информационной безопасности (AppSec) для работы над ключевыми компонентами ЛОЦМАН:PLM.

ЛОЦМАН:PLM - это система управления инженерными данными и жизненным циклом изделия, предназначена для автоматизации конструкторско-технологической подготовки производства.

Если вы готовы принять вызов и внести значимый вклад в командную работу, присоединяйтесь к нам.

Задачи:

• поддержка и обеспечение безопасности продуктовой разработки на всех этапах жизненного цикла разработки;

• анализ зависимостей (библиотек), архитектуры ПО на уязвимости и слабые места;

• проведение статического анализа, фаззинг-тестирования с помощью инструментов Svace, Crusher, Natch, Блесна, AFL++, libFuzzer и других;

• автоматизация и совершенствование процессов «Application Security» (SAST, DAST, OSS);

• консультация и поддержка подразделений разработки;

• выполнение требований регулятора (ФСТЭК России) в части стандарта по разработке безопасного ПО (ГОСТ Р 56939-2016).

• участие в сертификации разрабатываемых продуктов.

Требования:

• знание двух языков программирования, один из которых C/Си++, второй – на выбор из Python, Java, JS/TS, на уровне не меньшем чем «младший разработчик»;

• базовый опыт работы с компилятором из консоли, понимание принципов формирования Makefile, работы Configure, общее понимание принципов компиляции и компоновки, в том числе LTO;

• понимание принципов и ознакомительный опыт работы с любым из инструментирующих фаззеров;

• понимание принципов и ознакомительный опыт работы с (на выбор): отладчиками, средствами сбора покрытия, средствами анализа распространения помеченных данных;

• опыт автоматизации в области application security (правила для SAST, определение избыточных прав доступа к файловым и иным ресурсам (rwx, capabilities и т. п.), внедрение инструментов в CI/CD и т.д.) и опыт поддержки инфраструктуры, необходимой для проведения различных видов статического и динамического анализа;

• Linux как основная операционная системе на вашем ноутбуке;

• знание основных фреймворков, протоколов, стандартов безопасности (OAuth2, JWT, OpenID Connect. и т.п.), знание протоколов криптографической защиты, базовое знание средств защиты инфраструктуры;

• опыт поддержки инфраструктуры, необходимой для проведения статического и динамического анализа.

Будет плюсом:

• опыт взаимодействие с Испытательными лабораториями ФСТЭК России или иных ведомств;

• опыт работы в Web Application Security, знание об OWASP top 10, опыт обнаружения и исправления уязвимостей в web приложениях;

• умение разбираться в чужом коде;

• понимание принципов работы основных сетевых протоколов и опыт работы с Wireshark;

• опыт работы в команде на крупных проектах, работы с командами разработки;

• участие в отечественных и иностранных OpenSource проектах, знакомство c продуктами и коллективами и практическая работа с открытыми продуктами ведущих отечественных OpenSource-разработчиков;

• базовый опыт в реверс-инжиниринге и понимание основ ассемблера x86-64 или arm.

Условия работы:

• стабильность: работа в устойчиво развивающейся, аккредитованной IT- компании;

• официальное трудоустройство, соблюдение компанией всех социальных гарантий;

• ДМС после испытательного срока, доплата больничных до 100%;

• компенсация спорта;

• гибкий формат работы: вы можете выбрать удаленное сотрудничество или предпочесть работу в одном из наших центров разработки;

• достойная заработная плата + ежегодные премии. Итоговый уровень дохода обсуждается с успешным кандидатом на собеседовании;

• возможность обучения и участия в конференциях за счет компании.