sduka-social
Компания - Участник Сколково, специализирующаяся наанализе защищенности информационных систем и тонкой настройке средств защиты, атакже предлагающая полный комплекс услуг по построению процессов безопаснойразработки приложений
Обязанности:
· Внедрение технических средств поддержкипроцессов разработки защищенного ПО: статических и динамических анализаторов ит.п (написание собственных правил анализа кода, оценка эффективности и тюнингсистемных правил).
· Настройка анализаторов под специфику конкретныхприложений (анализ используемых фреймворков и стандартных библиотек,архитектуры приложения).
· Исследование веб-технологий, языковпрограммирования, фреймворков и библиотек на предмет определения рекомендацийпо их использованию в разработке (какое API не рекомендуется использовать, акакое – можно и нужно, с какими флагами, методами и т.д.).
· Участие в offensive-проектах (анализзащищенности/тестирование на проникновение) – по желанию.
· Выступления на конференциях – по желанию.
Требования:
· Знание предметной области Application Security:умение находить недостатки по коду приложения. Навыки чтения чужого кода.
· Знание, помимо OWASPTop 10: OWASP Testing Guide, OWASP Code Review Guide, OWASP Secure CodingPractices.
· Понимание современных процессов разработкипрограммного обеспечения: Agile, CI/CD.
· Навыки автоматизации рутинных задач с помощьюскриптовых языков, например, Python.
Приветствуются:
· Опыт работы аудитором кода или разработчиком дляширокого спектра языков программирования и фреймворков: JavaScript, языкиплатформы .Net, Java, PHP, Python, желательно общее знакомство с парадигмамипрограммирования.
· Опыт участия в CTF-соревнованиях, опытсамостоятельных исследований по ИБ или опыт участия в bugbounty.