Инженер ИБ (AppSec&Pentest)

Привет! Мы команда DevSecOps-инженеров продукта Drivee, и мы в поисках сотрудника в нашу команду.

Ты будешь заниматься задачами по поддержанию безопасности разработки и сервисов, а также тестированию на проникновение. Еще у нас есть блок задач (20%) по безопасной разработке и обучению сотрудников правилам безопасной работы с данными, есть возможность непосредственно “руками” поучаствовать в выполнении интересных для тебя задач.

В нашей команде сейчас 3 человека. Мы улучшаем процессы ИБ и создаем дружелюбную рабочую атмосферу, где обмениваемся опытом и поддерживаем друг друга. Ценим инициативность, ответственность, стремление к росту и умение договариваться. Если тебе это близко — будем рады видеть тебя в команде!

Наш стек:

• Бэкенд разработка на Go, PHP, клиентская часть на Kotlin+SWIFT;

• DevOps и SRE практики;

• Self Managed k8s, Ingress Nginx;

• Kafka, Redis, MySQL, ClickHouse;

• Neuvector, Casdoor, OpenSearch, PostgreSQL

• SemGrep, Owasp ZAP, Burp Suite

• VictoriaMetrics, Grafana, Loki, AlertManager, onCall;

• Github, Argo CD, Ansible, GitOps, IaC, helm, kustomize.

Зоны ответственности:

• Внедрение практик безопасности на всех этапах CI/CD;

• Инвентаризация активов и проведение аудитов в области соответствия требованиям безопасности;

• Оценка безопасности цепочки поставок и внедрение новых решений;

• Аудит и ревью исходного кода, выявление ошибок и закономерностей;

• Использование инструментов безопасности инфраструктуры - сетевые сканеры, сканеры безопасности контейнерных сред;

• Проведение обучений сотрудников из отделов инфраструктуры и разработки относительно применения практик по безопасности;

• Написание отчетов по проделанным работам и выявленным уязвимостям.

Нам важно увидеть:

• Инфраструктура: хороший уровень знания ОС и протоколов;

• Понимание работы и особенностей языков программирования и исполняемых сред;

• Знание подсистем безопасности - LSM, eBPF;

• Базовые знания криптографии - TLS/SSL, SHA;

• Умение пользоваться инструментами автоматизированного сканирования (ZAP, Burp, Nuclei, Nikto);

• Знание хотя бы одного из языков программирования - Python, Go, Kotlin, Java, C#;

• Понимание устройства и работы мобильных приложений;

• Атаки на хранилище исходного кода и конфигурации;

• Знание принципов атак на виртуализацию, контейнеризацию и сети;

• Понимание работы принципов работы алерт-систем ИБ;

• Работа с атаками на прикладную аутентификацию - BOLA, BAC.

Будет большим плюсом:

• Знание особенностей работы SCA, SAST, DAST инструментов;

• Знания работы систем цепочек поставок - чем отличается SBOM от OBOM;

• Практический опыт работы в проведении успешных атак на контейнерную инфраструктуру и системы оркестрации;

• Опыт аудита исходного кода больших Legacy проектов;

• Понимание принципов построения гибридных архитектур (Облако/OnPremise);

• Понимание правил обработки и хранения различных типов информации и данных;

• Знание способов атак на сети в гибридных архитектурах;

• Опыт работы с UNIX/Linux системами и понимание внутренних механизмов безопасности ОС;

• Опыт написания профилирования сканеров безопасности;

• Знание основных принципов безопасности веб-приложений, CWE, OWASP;

• Подтвержденное участие в CTF и Bug Bounty;

• Опыт применения, эксплуатации и выявления следов использования эксплоитов;

• Умение эксплуатировать потенциальные CWE и превращать их в CVE;

• Опыт проведения атак на мобильные приложения.

*Мы стараемся отвечать на все присланные нам резюме, но, если вам не поступил ответ в течение 2 и более недель, значит мы перешли к финальным этапам отбора. Спасибо за ваш интерес!