ВакансииСпециалистыЭкспертыКомпанииРейтингЗарплатыОбразованиеЖурнал

Application Security Analyst/ Ethical Hacker / Penetration Testing

Требования

Тестирование, Старший (Senior)JavaРазработка под AndroidРазработка под iOSТестирование на проникновениеИнформационная безопасность

Местоположение и тип занятости

Санкт-ПетербургПолный рабочий день

Компания

Логотип компании «Luxoft»Luxoft
Ведущая глобальная компания, оказывающая услуги по формированию digital стратегии и разработке программного обеспечения
www.luxoft.comВсе вакансии (0)

Описание вакансии

Условия работы

PROJECT DESCRIPTION

Вам может быть интересна эта вакансия если:

  • Вы интересуетесь безопасностью Web или мобильных приложений;
  • Вы чувствуете, что написали достаточно кода в своей жизни и готовы к новым испытаниям;
  • Вы хотите стать архитектором, специалистом по информационной безопасности, этичным хакером — или всем вместе.

Наша команда состоит из специалистов в разных областях информационной безопасности. Больше десяти лет мы занимаемся обеспечением безопасности приложений крупного европейского заказчика.

Используемый нами процесс анализа приложений на соответствие стандартам безопасности полностью интегрирован с жизненным циклом разработки приложений заказчика. Он включает в себя:

  • анализ бизнес-требований и технической документации по новым приложениям и проектам;
  • моделирование угроз, основанное на технической документации для новых программных продуктов и существующих систем;
  • статический анализ исходного кода;
  • динамический аудит приложений на общий уровень безопасности и соответствие внешним и внутренним требованиям и стандартам безопасности.

Данный подход подразумевает постоянный обмен опытом между членами команды и командой разработчиков, а также изучение передовых техник и подходов в обеспечении безопасности приложений.

RESPONSIBILITIES

  1. Участие в обсуждении и формировании бизнес требований и технической документации планируемых решений для уменьшения и предотвращения потенциальных рисков безопасности на самом раннем этапе жизненного цикла программного продукта;
  2. Подготовка и написание тестовых сценариев для аудита на основе бизнес требований и технической документации по проекту и вовлеченным системам;
  3. Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов:
  4. Статический анализ исходного кода (преимущественно Web-приложения на Java & J2EE и мобильные приложения под iOS и Android) с помощью таких инструментов, как HPE-MicroFocus Fortify SCA;
    1. Динамический анализ и сканирование приложений на наличие уязвимостей с помощью таких инструментов, как Burp Suite;
    2. Ручное проведение интеллектуальных атак (hacking) программных продуктов, развернутых на тестовых площадках;
    3. Разработка рекомендаций для разработчиков по устранению выявленных пробелов в безопасности, а также развитие имеющихся guidelines и best practices;
  5. Настройка (разработка новых правил) средств статического анализа кода и web-сканнеров.

SKILLS

MUST

  • Заинтересованность в профессиональном развитии в области безопасности веб приложений (Application Security);
  • Понимание принципов построения и работы современных веб-приложений;
  • Уровень английского: Upper-Intermediate;
  • Высшее образование в области IT;
  • 2 и более лет опыта в качестве разработчика в одной из следующих областей:
  • Мобильные приложения: Android или iOS,
  • Java & J2EE приложения на основе следующих фреймворков и технологий Spring, Hibernate, Log4j, Struts, JSP, EJB, JPA и т.д.
    • Опыт проведения code review;
    • Аналитический склад ума, внимание к деталям, нацеленность на результат. 

NICE TO HAVE

  • Знание основных концепций информационной безопасности: доступность, конфиденциальность, целостность, угроза, уязвимость, аутентификация, авторизация, шифрование (как симметричное, так и с открытым ключом), цифровая подпись и пр.;
  • Знание международных стандартов в области информационной безопасности и защиты персональных данных: ISO 27001, PCI DSS, EUGDPR и др.;
  • Знание стандартов, фреймворков из области информационной безопасности и опыт работы с ними: SAML, OAuth, WS-Security, X.509, SAML, JAAS, SSL/TLS, OpenSSO, OpenIAM и др.;
  • Знание основных дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
  • Опыт участия в CTF или в программах bug bounty;
  • Образование (курсы) в области информационной безопасности, «этичного хакинга», тестирования на проникновение, безопасной разработки.

Дополнительные инструкции

Оперативно связаться со мной можно в Telegram @nati_mint

О сервисеУслуги и цены
Помощь
Для соискателяДля работодателяAPI сервисаСлужба поддержки
Другие проекты Хабра
ХабрQ&AФриланс