Компания АСКОН приглашает к сотрудничеству опытного Специалиста по информационной безопасности (AppSec) для работы над ключевыми компонентами ЛОЦМАН:PLM.
ЛОЦМАН:PLM - это система управления инженерными данными и жизненным циклом изделия, предназначена для автоматизации конструкторско-технологической подготовки производства.
Если вы готовы принять вызов и внести значимый вклад в командную работу, присоединяйтесь к нам.
Задачи:
поддержка и обеспечение безопасности продуктовой разработки на всех этапах жизненного цикла разработки ;
анализ зависимостей (библиотек), архитектуры ПО на уязвимости и слабые места;
проведение статического анализа, фаззинг-тестирования с помощью инструментов Svace, Crusher, Natch, Блесна, AFL++, libFuzzer и других;
автоматизация и совершенствование процессов Application Security (SAST, DAST, OSS);
консультация и поддержка подразделений разработки;
выполнение требований регулятора (ФСТЭК России) в части стандарта по разработке безопасного ПО (ГОСТ Р 56939-2016).
участие в сертификации разрабатываемых продуктов.
Требования:
знание двух языков программирования, один из которых C/Си++, второй на выбор из Python, Java, JS/TS, на уровне не меньшем чем младший разработчик ;
базовый опыт работы с компилятором из консоли, понимание принципов формирования Makefile, работы Configure, общее понимание принципов компиляции и компоновки, в том числе LTO;
понимание принципов и ознакомительный опыт работы с любым из инструментирующих фаззеров;
понимание принципов и ознакомительный опыт работы с (на выбор): отладчиками, средствами сбора покрытия, средствами анализа распространения помеченных данных;
опыт автоматизации в области application security (правила для SAST, определение избыточных прав доступа к файловым и иным ресурсам (rwx, capabilities и т. п.), внедрение инструментов в CI/CD и т.д.) и опыт поддержки инфраструктуры, необходимой для проведения различных видов статического и динамического анализа;
Linux как основная операционная системе на вашем ноутбуке;
знание основных фреймворков, протоколов, стандартов безопасности (OAuth2, JWT, OpenID Connect. и т.п.), знание протоколов криптографической защиты, базовое знание средств защиты инфраструктуры;
опыт поддержки инфраструктуры, необходимой для проведения статического и динамического анализа.
Будет плюсом:
опыт взаимодействие с Испытательными лабораториями ФСТЭК России или иных ведомств;
опыт работы в Web Application Security, знание об OWASP top 10, опыт обнаружения и исправления уязвимостей в web приложениях;
умение разбираться в чужом коде;
понимание принципов работы основных сетевых протоколов и опыт работы с Wireshark;
опыт работы в команде на крупных проектах, работы с командами разработки;
участие в отечественных и иностранных OpenSource проектах, знакомство c продуктами и коллективами и практическая работа с открытыми продуктами ведущих отечественных OpenSource-разработчиков;
базовый опыт в реверс-инжиниринге и понимание основ ассемблера x86-64 или arm.
Условия работы:
стабильность: работа в устойчиво развивающейся, аккредитованной IT- компании;
официальное трудоустройство, соблюдение компанией всех социальных гарантий;
ДМС после испытательного срока, доплата больничных до 100%;
компенсация спорта;
гибкий формат работы: вы можете выбрать удаленное сотрудничество или предпочесть работу в одном из наших центров разработки;
достойная заработная плата + ежегодные премии. Итоговый уровень дохода обсуждается с успешным кандидатом на собеседовании;
возможность обучения и участия в конференциях за счет компании.