з/п не указана
Москва
От 1 года до 3 лет
Задачи:
На данной позиции необходимо проводить аудит сервисов и решений на наличие уязвимостей и ошибок бизнес-логики в форматах white/gray/black box, принимать участие в исследовании проблемы различных технологий, участвовать в профильной жизни компании на различных конференциях.
Требования к кандидатам:
- понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.) и основных проблем безопасности;
- понимание принципов работы современных операционных систем и основных проблем безопасности;
- понимание принципов работы систем защиты;
- знание и понимание OWASP Top 10, CWE Top 25, ASVS Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
- опыт разработки программного обеспечения;
- понимание следующих ЯП: Python, Java, Kotlin, PHP, JavaScript, GoLang, C/C++;
- понимание тактик компьютерных атак и их обнаружения;
- знание основных методик оценки защищенности систем (OSSTM, OWASP и другие);
- знание принципов работы приложений и абстракций известных операционных систем (Windows, Linux, MacOS);
- знание best-practises по написанию исходного кода;
- понимание основных проблем безопасности high и low level программных решений;
- опыт fuzzing-тестирования (afl, boofuzz, sharpfuzz и аналоги), статического и экспертного анализа исходного кода (SAST), анализа зависимых компонент из общего доступа (SCA/OSA), но не ограничиваясь;
- знание принципов безопасности облаков, контейнеров и CI/CD окружения.
Будет плюсом:
- выступление на профильных конференциях по информационной безопасности;
- умение моделировать угрозы с использованием популярных фреймворков;
- наличие подтверждающих сертификатов в области анализа защищенности и информационной безопасности.
