Вакансия открыта в связи с расширением команды Службы анализа кода. Возможен удалённый формат работы.
Требования:
- высшее образование (ИБ, ИТ),
- опыт от 2-х лет опыт работы по направлению Application Security, специалиста по проведению динамического анализа кода на безопасность (DAST),
- знание уязвимостей информационных систем и ПО, их классификации и порядка оценки критичности (OWASP, CVSS, CWE, CVE),
- знание современных подходов по разработке безопасного ПО,
- опыт работы с инструментами CI/CD,
- знание основных сетевых протоколов и сервисов,
- знание и понимание методики тестирования OWASP WSTG,
- опыт использования инструментов gobuster, wfuzz, nmap, sqlmap, fuff,
- опыт работы с DAST решениями (OWASP ZAP, Burp Suite, NetSparker),
- умение работать в ОС Linux на уровне продвинутого пользователя;
Будет плюсом:
- знания требований законодательства РФ и регуляторов, а также рекомендации международных и отечественных стандартов в области обеспечения безопасной разработки ПО.
Задачи:
- проведение работ по динамическому анализу кода веб-приложений,
- проведение работ по динамическому анализу кода мобильных приложений (Android, iOS),
- исследование результатов анализа, выявление критичных недостатков и формирование отчетной документации с рекомендациями для команд разработки в части устранения выявленных недостатков,
- взаимодействие с командами разработки по вопросам устранения выявленных недостатков,
- проведение динамического анализа кода с учетом результатов статического анализа кода,
- эксплуатация обнаруженных уязвимостей,
- демонстрация возможностей эксплуатации уязвимостей командам разработки.