Инженер по обеспечению безопасности разработки

Москва, улица Годовикова, 9с17

Описание вакансии

BASIS — разработчик программных продуктов для оказания облачных услуг и платформы динамической инфраструктуры.

Компания BASIS занимается поставкой и интеграцией решений виртуализации крупнейшим государственным и коммерческим заказчикам. Мы занимаем активную позицию в вопросе замещения импортных решений нашими.

Обязанности:

Проведение полного цикла работ по тестированию на проникновение веб-приложений, виртуальной и сетевой инфраструктуры;
Подготовка детализированных отчетов с описанием векторов атак, эксплуатируемых уязвимостей, PoC-кода и практических рекомендаций по устранению;
Анализ и адаптация готовых эксплойтов, написание Proof-of-Concept (PoC) для подтверждения наличия уязвимостей;
Анализ уязвимостей на уровне оркестрации: RBAC, PodSecurityPolicy, сетевые политики, безопасность etcd;
Автоматизация задач по настройке стендов (Bash/Python для инициализации БД, создания пользователей, настройки фейковых данных).

Требования:

Знание сетевых протоколов, протоколов СХД, принципов построения инфраструктуры и основ Kubernetes (Pod, Service, Ingress);
Знание основных видов инфраструктурных уязвимостей, принципов атак и методов защиты;
Опыт работы с инструментами безопасности (Nmap, Burp Suite, Metasploit, nuclei, ZAP, trivy, docker-benchmark, kube-bench);
Уверенное владение Linux, умение писать скрипты на Python/Bash;
Опыт самостоятельного развертывания стендов и их анализа (проверка сетевой доступности, корректности конфигураций);
Понимание, как работает Kubernetes (k8s) на уровне, достаточном, чтобы развернуть тестовый кластер и выявить типовые уязвимости конфигурации.

Будет плюсом:
Владение инструментами DevOps;
Умение доступно объяснить техническую проблему разработчикам или менеджменту;
Участие на площадках по CTF;
Заведение issue на продукты;
Написание тематических статей.