Инженер по автоматизации тестирования SAST/DAST/SCA

Кто мы

Positive Technologies — вендор продуктов и услуг в области кибербезопасности. Более 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии используют около 4000 организаций по всему миру.

Мы ищем специалиста на стыке security specialist и QA automation engineer с уклоном в DevSecOps.

Чем предстоит заниматься

Развитие и поддержка тестовой инфраструктуры:

• Систематизация, актуализация и контейнеризация тестовых стендов и сервисов
• Администрирование и поддержка тестовых сред на базе Linux
• Создание и поддержка Docker-контейнеров для развертывания сервисов и инструментов
• Автоматизация регрессионного тестирования:
• Разработка фреймворков и наборов автотестов для регрессионного тестирования анализаторов (SAST, DAST, SCA)
• Автоматизация проверки функциональности продукта через CLI, IPC
• Валидация результатов сканирования с помощью скриптовых инструментов
• Интеграция в процессы разработки (CI/CD):
• Встраивание автоматизированных проверок безопасности (security gates) в pipeline сборки
• Настройка и поддержка процессов непрерывной интеграции для запуска автотестов
• Анализ и верификация результатов:
• Проведение триажа (сортировки и приоритизации) уязвимостей, найденных инструментами SAST, DAST, SCA
• Верификация найденных уязвимостей, написание proof-of-concept для критичных из них

Наши ожидания

Программирование и скриптинг:

• Навыки разработки на Python для создания автотестов и инструментов автоматизации (от 2-х лет)
• Продвинутые навыки написания скриптов на Bash/shell
• Умение писать SQL-запросы
• Операционные системы и администрирование:
• Уверенное администрирование ОС Linux
• Понимание принципов реализации механизмов безопасности в ОС Windows и Linux
• Веб-технологии и сети:
• Опыт тестирования Web-приложений и REST API
• Знание REST-архитектуры, глубокое понимание стандартов HTTP, JSON, XML
• Уверенные знания сетевых технологий и протоколов (модель OSI, TCP/IP)
• Контейнеризация и инфраструктура:
• Опыт работы с Docker
• Понимание принципов виртуализации и контейнеризации
• Понимание принципов CI/CD
• Инструменты анализа безопасности (Опыт использования):
• Практический опыт работы с инструментами SAST, DAST/Fuzzing, OSA/SCA

Будет плюсом

Мобильная безопасность:

• Опыт проведения SAST-анализа мобильных приложений
• Анализ мобильных приложений с помощью MobSF, Frida
• Знание основных моделей угроз и уязвимостей (OWASP Top 10 для Web, Mobile, API)
• Расширенные практики безопасности:
• Опыт встраивания проверок безопасности (security gates) в pipeline (DevSecOps)

Инструменты и стандарты:

• Опыт работы с git (Gitlab, Github), таск-трекерами (YouTrack)
• Опыт работы с уязвимостями в зависимостях (прямых и транзитивных)
• Знание международных стандартов и фреймворков (NIST, CIS, MITRE ATT&CK)
• Дополнительный опыт:
• Опыт в прохождении сертификации ФСТЭК
• Участие в CTF или bug bounty программах
• Профильное высшее образование по ИБ или курсы повышения квалификации
• Опыт анализа результатов сканирования, верификации уязвимостей, их сортировки и приоритизации
• Опыт работы в сфере информационной безопасности или смежных областях

Что мы предлагаем

• Условия для постоянного развития: внешние и внутренние образовательные программы, митапы, научпоп-лекции, экспертное обучение, обучение для руководителей и не только
• Гибкий подход к отдыху: 28 календарных дней отпуска, доплату отпускных до полного оклада и 10 day off в год
• Заботу о здоровье: ДМС с первой недели работы, включая стоматологию, ежегодный чекап
• Компенсацию до 50% расходов на занятия спортом и английским языком в рамках ежегодного бюджета
• Работу в аккредитованной ИТ-компании и возможность использования льгот Министерства цифрового развития