Инженер по безопасности \ Security Engineer (CYP)

Команда Common Yadro Platform разрабатывает программную экосистему для продуктов компании (СХД, серверы, сетевое и телеком-оборудование).

Мы создаём слои управления аппаратной платформой и операционной системой, разрабатываем Linux-based дистрибутивы и общие сервисы на Golang. Наша платформа позволяет продуктовым командам сосредоточиться на бизнес-логике, беря на себя основные функции и предоставляя готовые интерфейсы для верхних уровней ПО.

Ищем специалиста, который поможет сделать наши дистрибутивы и сервисы надёжными и безопасными. Нам важен ваш опыт в любой комбинации направлений информационной безопасности: реверс-инжиниринг, аудиты, пентесты, проектирование и разработка защищённых продуктов, а также автоматизация процессов анализа и управления безопасностью.

Чем вам предстоит заниматься:

• внедрять и автоматизировать инструменты и процессы SSDLC в CI/CD;
• адаптировать и интегрировать передовые практики DevSecOps в текущие процессы разработки;
• автоматизировать процедуры анализа безопасности, обработки и триажа результатов;
• использовать и дорабатывать инструменты статического (SAST), динамического (DAST) и композиционного (SCA) анализа кода;
• разрабатывать собственные решения и обёртки для повышения точности и эффективности фаззинга;
• анализировать и исправлять уязвимости, писать патчи и разрабатывать меры защиты;
• внедрять решения, повышающие безопасность дистрибутива и продуктов на его основе.

Что мы ожидаем от вас:

• опыт работы в DevSecOps / AppSec / Security Engineer от 3 лет;
• глубокое понимание и опыт автоматизации SSDLC;
• практический опыт с CI/CD (Jenkins, GitLab CI/CD или аналогичные инструменты);
• знание инструментов фаззинга (Syzkaller, AFL++, libFuzzer), статического и динамического анализа (SonarQube, Coverity, Burp Suite);
• владение одним или несколькими языками программирования (Python, Go, C++, Bash);
• понимание форматов SBOM (CycloneDX, SPDX), опыт работы с базами уязвимостей (NVD, OSVDB);
• хорошее знание уязвимостей, методов их эксплуатации и оценки рисков;
• опыт применения LLM и понимание современных трендов в информационной безопасности.

Будет плюсом:

• участие в CTF, bug bounty, HackTheBox или других профильных соревнованиях;
• опыт поиска уязвимостей, разработки патчей и написания PoC.