Инженер по тестированию безопасности (Application Security)

R-Vision - аккредитованная IT-компания, разработчик систем кибербезопасности. Компания с 2011 года создает целую экосистему продуктов, которые помогают организациям уверенно противостоять актуальным киберугрозам и обеспечивать надежное управление информационной безопасностью. Мы вносим заметный технологический и экспертный вклад в сферу кибербезопасности.

Крупнейшие компании из ключевых отраслей экономики России и стран СНГ используют наши продукты, и с каждым годом их становится все больше. Кроме того, мы ведем активную работу по выходу на международный рынок.

Мы никогда не останавливаемся на достигнутом и продолжаем наращивать обороты, усиливать команду и активно развивать новые продуктовые направления. В связи с этим мы расширяем штат команды Application Security. И приглашаем Инженера по тестированию безопасности присоединиться к нашей R-Team!

Чем предстоит заниматься:

• Участвовать в построении и выстраивании процессов безопасной разработки продуктов Компании;
• Активно работать с разработчиками и тестировщиками, в том числе проводить обучение в различных аспектах безопасности приложений;
• Вести вверенную продуктовую команду в светлый мир безопасной разработки;
• Совершенствовать процессы в команде и внедрять новые практики и инструментарии;
• Внедрять и автоматизировать проверки приложений и их окружений на безопасность;
• Заниматься ручным тестированием приложений, а также верификацией найденных автоматизированными средствами уязвимостей и изучением вопроса их эксплуатации;
• Создавать и пополнять базу знаний по безопасной разработке;
• Писать и совершенствовать правила SAST/DAST и иных инструментов направленных на анализ безопасности продуктов;
• Автоматизировать различные проверки, результаты их обработки, а также поддерживать и совершенствовать существующие инструменты;
• Участвовать в разработке внутренней платформы по безопасной разработке (Python);
• Помогать командам в моделировании угроз и проведении архитектурного ревью.

Нам важно:

• Понимание принципов безопасной разработки;
• Знание основных WEB уязвимостей, причин их возникновения и умение их проэксплуатировать;
• Опыт в проведении анализа защищенности программного обеспечения;
• Умение читать код на различных языках (JavaScript, Rust, Python) или большое желание научиться этому;
• Умение программировать на Python;
• Умение билдить и собирать тулзы/приложения в Docker;
• Знание Git, представление о процессах CI/CD;
• Опыт использования и автоматизации DAST (OWASP ZAP, BurpSuite, ReSTLER) и других инструментов.

Будет плюсом:

• Опыт эксплуатации DefectDojo;
• Знание что такое white box фаззинг и таких инструментов как AFL++, Libfuzz;
• Опыт работы в сертификации продуктов в ФСТЭК;
• Знание С/С++;
• Опыт написания статей, обзоров в области AppSec\DevSecOps.

• Возможность работать удаленно /в офисе или в гибридном формате на территории РФ;
• Оформление в соответствии с ТК РФ, полностью белая заработная плата, выплачиваемая всегда вовремя;
• Прозрачная система повышения заработной платы по итогам оценки эффективности Performance Review;
• Корпоративное обучение и повышение квалификации, участие в конференциях и митапах за счет компании;
• ДМС со стоматологией в городе проживания, 100% компенсация больничного;
• Программа корпоративных скидок и привилегий;
• Собственная корпоративная библиотека с огромным выбором профессиональной и бизнес-литературы;
• Развитая корпоративная культура;
• Возможность влиять на развитие продукта и компании в целом.