Application Security Engineer (Специалист по информационной безопасности/Специалист по испытаниям)

ГК Конфидент - крупнейший в России вендор и системный интегратор в области информационной безопасности и разработки средств защиты информации. Наши продукты применяются для защиты конфиденциальной информации и информации, составляющей государственную тайну до уровня «совершенно секретно».

Наши заказчики: органы государственной власти по всей России, крупнейшие энергетические компании, медицинские и банковские учреждения, страховые компании.

О самом важном:

• 31 год истории
• 300+ сотрудников
• 7 продуктов в экосистеме
• 700+ партнеров в РФ
• Сотни тысяч постоянных заказчиков
• 4500+ проектов реализуется в РФ с использованием наших продуктов

Компания имеет государственную ИТ-аккредитацию, помимо этого сотрудники получают бронь от призыва по мобилизации.

Чем предстоит заниматься:

• участие в процессе сертификации (ФСТЭК России, МО РФ) средств защиты информации в качестве эксперта со стороны заявителя.
• исследование исходных текстов ПО на наличие дефектов и уязвимостей кода;
• участие в автоматизации и совершенствовании процессов application security (SAST, SCA, DAST, OSS);
• анализ влияния дефектов и уязвимостей кода на выполнение функций безопасности.

Что требуется обязательно:

• опыт разработки на C/C++/Python (допускается опыт не коммерч.разработки)
• умение разбираться в чужом коде на C/C++ (или на других языках)
• опыт работы в ОС Linux, Windows (допускается на уровне пользователя)
• понимание основных концепций безопасной разработки;
• опыт использования статических анализаторов (Svace, PVS-Studio);
• опыт фаззинг-тестирования "AFL++, libfuzzer, crusher".

Желательно:

• опыт участия в процессе сертификации средств защиты информации;
• знание нормативной базы в области сертификации СЗИ по требованиям безопасности (ФСТЭК/ ФСБ/ МО РФ);
• знание методик проведения анализа ПО на наличие уязвимостей, НДВ, опасных конструкций и дефектов, влияющих на безопасность;
• умение работать с системами контроля версий (git);
• умение работать со средствами контейнеризации (docker);
• знание инструментов динамического анализа (valgrind, gdb, ASAN, UBSAN, TSAN);
• понимание современной парадигмы greybox-фаззинга, опыт использования инструментов AFL++, libfuzzer.

Что мы предлагаем нашим сотрудникам:

• оформление по ТК РФ (полностью "белая" зп);
• уровень дохода обсуждается индивидуально, при отклике напишите, пожалуйста, ваши ожидания;
• график работы: 5-ка, гибкое начало рабочего дня;
• исп. срок: офис, после исп.срока: 3 офис, 2 удаленно;
• Если вы проживаете не в Санкт-Петербурге, предлагаем вам удаленный формат, но хотя бы на первый месяц нужно приехать в Питер;
• 10 минут пешком от ст.м. Елизаровская;
• ДМС, врач в офисе;
• IT аккредитованная компания: отсрочка от службы в армии, помимо этого есть бронь на мобилизацию
• насыщенная корпоративная жизнь, подарки к праздникам, детям на Новый год;
• комната отдыха с Play Station 5 и большим ТВ, кофемашина с различным кофе :)