Application Security Analyst / Java Developer

Вам может быть интересна эта вакансия если:
• Вы интересуетесь безопасностью Web или мобильных приложений;
• Вы чувствуете, что написали достаточно кода в своей жизни и готовы к новым испытаниям;
• Вы хотите стать архитектором, специалистом по информационной безопасности, этичным хакером - или всем вместе.

Наша команда состоит из специалистов в разных областях информационной безопасности. Больше десяти лет мы занимаемся обеспечением безопасности приложений крупного европейского заказчика.
Используемый нами процесс анализа приложений на соответствие стандартам безопасности полностью интегрирован с жизненным циклом разработки приложений заказчика. Он включает в себя:
• анализ бизнес-требований и технической документации по новым приложениям и проектам;
• моделирование угроз, основанное на технической документации для новых программных продуктов и существующих систем;
• статический анализ исходного кода;
• динамический аудит приложений на общий уровень безопасности и соответствие внешним и внутренним требованиям и стандартам безопасности.

Данный подход подразумевает постоянный обмен опытом между членами команды и командой разработчиков, а также изучение передовых техник и подходов в обеспечении безопасности приложений.

Обязанности:

• Участие в обсуждении и формировании бизнес требований и технической документации планируемых решений для уменьшения и предотвращения потенциальных рисков безопасности на самом раннем этапе жизненного цикла программного продукта;
• Подготовка и написание тестовых сценариев для аудита на основе бизнес требований и технической документации по проекту и вовлеченным системам;
• Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов:
- Статический анализ исходного кода (преимущественно Web-приложения на Java & J2EE и мобильные приложения под iOS и Android) с помощью таких инструментов, как HPE-MicroFocus Fortify SCA;
- Динамический анализ и сканирование приложений на наличие уязвимостей с помощью таких инструментов, как Burp Suite;
- Ручное проведение интеллектуальных атак (hacking) программных продуктов, развернутых на тестовых площадках;
• Разработка рекомендаций для разработчиков по устранению выявленных пробелов в безопасности, а также развитие имеющихся guidelines и best practices;
• Настройка (разработка новых правил) средств статического анализа кода и web-сканнеров.

Требования:

• Заинтересованность в профессиональном развитии в области безопасности веб приложений (Application Security);
• Понимание принципов построения и работы современных веб-приложений;
• 2 и более лет опыта в качестве разработчика в одной из следующих областей:
- Мобильные приложения: Android или iOS,
- Java & J2EE приложения на основе следующих фреймворков и технологий Spring, Hibernate, Log4j, Struts, JSP, EJB, JPA и т.д.
• Опыт проведения code review;
• Аналитический склад ума, внимание к деталям, нацеленность на результат.

Будет большим плюсом
• Знание основных концепций информационной безопасности: доступность, конфиденциальность, целостность, угроза, уязвимость, аутентификация, авторизация, шифрование (как симметричное, так и с открытым ключом), цифровая подпись и пр.;
• Знание международных стандартов в области информационной безопасности и защиты персональных данных: ISO 27001, PCI DSS, EUGDPR и др.;
• Знание стандартов, фреймворков из области информационной безопасности и опыт работы с ними: SAML, OAuth, WS-Security, X.509, SAML, JAAS, SSL/TLS, OpenSSO, OpenIAM и др.;
• Знание основных дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
• Опыт участия в CTF или в программах bug bounty;
• Образование (курсы) в области информационной безопасности, «этичного хакинга», тестирования на проникновение, безопасной разработки.

Контактная информация

Воронина Алина, 7-812-4587016
avoronina@luxoft.com