Специалиста по информационной безопасности (AppSec)

Компания АСКОН приглашает к сотрудничеству опытного Специалиста по информационной безопасности (AppSec) для работы над ключевыми компонентами ВЕРТИКАЛЬ, ПОЛИНОМ:MDM.

Если вы готовы принять вызов и внести значимый вклад в командную работу, присоединяйтесь к нашей команде.

Задачи:

• поддержка и обеспечение безопасности продуктовой разработки на всех этапах жизненного цикла разработки;

• анализ зависимостей (библиотек), архитектуры ПО на уязвимости и слабые места;

• проведение статического анализа, фаззинг-тестирования с помощью инструментов Svace, Crusher, Natch, Блесна, AFL++, libFuzzer и других;

• автоматизация и совершенствование процессов «Application Security» (SAST, DAST, OSS);

• консультация и поддержка подразделений разработки;

• выполнение требований регулятора (ФСТЭК России) в части стандарта по разработке безопасного ПО (ГОСТ Р 56939-2024).

• участие в сертификации разрабатываемых продуктов.

Требования:

• понимание архитектуры построения современной web-системы (клиент - сервер приложений - сервер базы данных);

• общее знание языков (С# и/или TypeScript), общее знание языка SQL - написание запросов в базу данных postgresql;

• понимание сетевой модели OSI, опыт работы в Linux системах, процессов ci/cd, SSDLC;

• готовность работать с документами (Бизнес требования, Технические задания, Схемы);

• готовность к изучению новых языков программирования и прочих ИТ технологий;

• понимание уязвимостей OWASP Top 10;

• опыт работы и внедрения инструментов класса DAST (BurpSuite, OWASP ZAP), Fuzzing (AFL, libFuzzer), SAST, SCA, OSA;

• опыт работы с инструментами DevOps (Teamcity, Jenkins, Gitlab, Nexus, JFrog, ELK, ansible).

Будет плюсом:

• опыт работы с docker или формирования процессов безопасной разработки

• знание или опыт применения стандартов сертификации ПО по ФСТЭК

• опыт использования Infisical/HashiCorp Vault или аналогичной системы.

• опыт участия в профильных (CTF, PHDays, OffZone, ZeroNight, HackTheBox, TryHackMe, Burp Suite Academy) соревнованиях и конференциях

• Знание базовых нормативных документов ФСТЭК (приказы № 17, 21, 31, 239, 55, 76, 64)

• опыт применения таких инструментов отладки, как gdb, valgrind,address sanitizer, undefined behaviour sanitizer, thread sanitizer.

Условия работы:

• стабильность: работа в устойчиво развивающейся, аккредитованной IT- компании;

• официальное трудоустройство, соблюдение компанией всех социальных гарантий;

• ДМС после испытательного срока, доплата больничных до 100%;

• частичная компенсация спортивных абонементов;

• гибкий формат работы: вы можете выбрать удаленное сотрудничество или предпочесть работу в одном из наших центров разработки;

• достойная заработная плата. Итоговый уровень дохода обсуждается с успешным кандидатом на собеседовании;

• возможность работать в стабильной продуктовой компании и принять участие в разработке продукта, который уже 20 лет является лидером рынка инженерного ПО;

• возможность обучения и участия в конференциях за счет компании.