Senior AppSec-инженер (DAST)

Мы Группа Астра – один из лидеров российской IT-индустрии, ведущий производитель программного обеспечения, в том числе защищенных операционных систем и платформ виртуализации. Разработка флагманского продукта, ОС семейства Astra Linux, ведется с 2008 года.

Наша миссия – обеспечить технологический суверенитет России и ее лидерство в мировой IT-индустрии путем создания базовых технологий, специального и пользовательского ПО. Стратегическая цель – к 2030 году стать национальным производителем программных продуктов №1.

Обязанности:

• Проведение динамического анализа системного и прикладного ПО, модулей ядра (фаззинг-тестирование/символьное исполнение/анализ помеченных данных, определение и актуализация поверхности атаки).
• Разбор результатов работы средств динамического анализа (проверка выявляемых дефектов, приоритизация, поиск решений для их устранения, кроссверификация результатов анализа).

• Настройка и развитие инструментов DAST, интеграция с другими средствами анализа, повышение эффективности их работы.

• Автоматизация сценариев применения инструментов DAST, интеграция средств анализа в процессы CI/CD.

Требования:

• Опыт работы с инструментами фаззинга (AFL/AFL++, libFuzzer), опыт написания оберток, анализа результатов, в том числе кроссверификации ранее полученных результатов, подготовки патчей, определения и актуализации поверхности атаки.
• Опыт работы с инструментами символьного исполнения и/или анализа помеченных данных.
• Опыт интеграции различных средств анализа с целью повышения их эффективности.
• Опыт интеграции инструментов DAST в CI/CD-пайплайны.
• Опыт разработки на C/C++.
• Опыт работы с DevOps-инструментами (Git, Docker).
• Навыки применения скриптовых языков (Python, Bash).

Будет плюсом:

• Понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps.
• Опыт применения syzkaller или других средств фаззинга уровня ядра ОС.
• Опыт доработки инструментов DAST/доработки мутаторов с целью повышения их эффективности.
• Опыт взаимодействия с OpenSource-сообществом в вопросах подготовки патчей и устранения выявляемых ошибок.
• Успешный опыт участия в программах Bug Bounty, CTF.

Условия:

• Уверенность в будущем. Мы чтим ТК РФ: у нас стабильный и прозрачный «белый» доход и полноценный соцпакет.
• Забота о здоровье. Оформим полис ДМС со стоматологией.
• Спорт — это про нас. У нас многие увлекаются сноубордом, лыжами, дайвингом, бегом и пр. – найти кого-то для afterwork-активностей не проблема. Мы спонсируем тренировки футбольной и волейбольной команд, поддерживаем инициативы по киберспорту и приходим на турниры по настольному футболу просто поболеть.
• Конкурентная заработная плата.
• Добираться легко. Офис в 3 минутах ходьбы от станции метро Нагатинская или 10 минут от МЦК Верхние Котлы
• Удаленка или офис? Тебе решать. Можно работать где угодно: дома, в офисе или в гибридном режиме. Нам важны результаты, а не то, где ты находишься.