Application Security Researcher / Developer (PT Application Inspector)

Санкт-Петербург
06.09.2023
Полный день
Срок для отклика истек

Описание вакансии

Чем занимается Positive Technologies

Мы создаем продукты для кибербезопасности. Это решения и технологии, которые защищают от хакеров и помогают проводить расследования инцидентов.

Мы разрабатываем сложные высоконагруженные системы, используем алгоритмы машинного обучения, обработки и анализа данных, опенсорс-решения и адаптируем их к нашим задачам. Часть наработок мы публикуем на GitHub. Прежде чем отдавать продукты заказчикам, мы проверяем их на себе.

У нас семь офисов в России (в Москве, Санкт-Петербурге, Самаре, Нижнем Новгороде, Томске и два в Новосибирске), поэтому продуктовые команды часто территориально распределены. Нас больше больше 1800 человек.

О продукте

PT Application Inspector — анализатор исходного кода приложений. Он позволяет специалистам по ИБ выявлять и подтверждать уязвимости и недокументированные возможности (например, закладки, оставленные в исходном коде), а разработчикам — сделать безопасность частью процесса разработки и тем самым повысить эффективность устранения уязвимостей на ранних этапах.

Подробнее о продукте на сайте.

Чем предстоит заниматься:

  • исследовать библиотеки и фреймворки на различных языках программирования (C#, Java, PHP, JavaScript, Python, Go, Ruby и других) с целью обнаружения недостатков, приводящих к потенциальным уязвимостям;
  • разрабатывать скрипты расширения на языке C# базы знаний продукта PT Application Inspector;
  • систематизировать уязвимости по категориям и классам в единую классификацию;
  • выполнять оперативное реагирование на 0-day уязвимости.

Что необходимо кандидату:

  • знание причинно-следственной связи для появления уязвимостей в веб-приложениях;
  • знание способов эксплуатации уязвимостей в веб-приложениях;
  • знание механизмов защиты от уязвимостей в веб-приложениях;
  • знание разных таксономий уязвимостей (CWE MITRE, WASC Threat Classification, OWASP Vulnerabilities, Seven Pernicious Kingdoms и т.п.);
  • опыт исследования уязвимостей ПО (методом "белый ящик");
  • опыт работы с утилитами статического анализа программного обеспечения;
  • опыт программирования на языке C# (также подойдет опыт на другом языке, но важна готовность перейти на C#);
  • опыт ранжирования потенциальных уязвимостей по классам и типам.

Будет плюсом:

  • широкий кругозор в технологиях Application Security (SAST, DAST, IAST, WAF);
  • опыт участия в соревнованиях CTF и программах Bug Bounty;
  • знание нескольких языков программирования;
  • наличие сертификатов по направлению Application Security;
  • опыт промышленной разработки.

Что предлагаем:

  • всё полностью официально, также у компании есть IT аккредитация;
  • 6 недель оплачиваемого отпуска в год;

  • ДМС со стоматологией, вызовом врача на дом, экстренной госпитализацией и страховкой для путешествий;

  • возможность работать удаленно или в одном из наших офисов;

  • гибкий график – можно выбирать время начала рабочего дня;

  • минимум бюрократии и формализма;
  • частичная компенсация спорта, психологической помощи, и еще много скидок на различные услуги и сервисы;
  • помощь с планом развития и обучением, оплачиваем посещение курсов, конференций;
  • активности вне работы: классные корпоративные мероприятия, тимбилдинги, настолки, приставка, игры в мафию, спортивные команды.

Похожие вакансии