Инженер по поиску уязвимостей

О нас

24 часа в сутки мы детектируем атаки и с максимальной скоростью разрабатываем и публикуем рекомендации по защите информации наших клиентов.

UserGate вкладывает много ресурсов в развитие технологий. Это далеко не норма в нашей отрасли, где можно получить относительно быстрый результат, используя программное обеспечение с открытым кодом. Мы вкладываемся в развитие собственной аппаратной части, в исследование новых высокопроизводительных алгоритмов, развитие собственных решений, основанных на проприетарном коде и экспертизе. Мы больше чем софтовая компания – мы создаем и развиваем технологии.

Наша миссия – защита инфраструктуры цифрового мира технологиями, которым доверяют вне зависимости от границ.

Мы ищем Инженера по поиску уязвимостей, который будет играть ключевую роль в построении и развитии культуры безопасной разработки в нашей компании.

Чем предстоит заниматься

• проведение динамического анализа системного и прикладного ПО, модулей ядра (фаззинг-тестирование/символьное исполнение/анализ помеченных данных, определение и актуализация поверхности атаки);

• разбор результатов работы средств динамического анализа (проверка выявляемых дефектов, приоритизация, поиск решений для их устранения, кроссверификация результатов анализа);

• настройка и развитие инструментов DAST, интеграция с другими средствами анализа, повышение эффективности их работы;

• автоматизация сценариев применения инструментов DAST, интеграция средств анализа в процессы CI/CD;

• поиск уязвимостей веб-приложений при помощи инструментов DAST;

• анализ и подтверждение дефектов, выявленных DAST-инструментом, предоставление рекомендаций по их устранению.

Наши ожидания

• опыт работы с инструментами фаззинга (AFL/AFL++, libFuzzer), опыт написания оберток, анализа результатов, в том числе кроссверификации ранее полученных результатов, подготовки патчей, определения и актуализации поверхности атаки;

• опыт работы с инструментами символьного исполнения и/или анализа помеченных данных;

• опыт интеграции различных средств анализа с целью повышения их эффективности;

• опыт интеграции инструментов DAST в CI/CD-пайплайны;

• опыт разработки на C/C++;

• опыт работы с DevOps-инструментами (Git, Docker);

• навыки применения скриптовых языков (Python, Bash).

Будет плюсом:

• понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps;

• опыт применения syzkaller или других средств фаззинга уровня ядра ОС;

• опыт доработки инструментов DAST/доработки мутаторов с целью повышения их эффективности;

• опыт взаимодействия с OpenSource-сообществом в вопросах подготовки патчей и устранения выявляемых ошибок.

Мы предлагаем

• возможность развития в растущей компании с большими амбициями;

• команду с сильной ИБ экспертизой;

• достойную оплату труда (обсуждаем на собеседовании);

• гибкое начало рабочего дня, гибридный график работы;

• бенефиты: ДМС со стоматологией, стационаром и помощью на дому, страхование родственников, компенсация абонементов на любой вид спорта, карта питания, подарки к мероприятиям.