AppSec инженер

Описание вакансии

Orion soft — российский разработчик ИТ-продуктов, в основу которых заложена концепция программно-определяемого ЦОД.

В портфель решений входит флагманский продукт zVirt, платформа управления виртуализацией Cloudlink, система терминального доступа Termit, а также Nova Container Platform — платформа оркестрации контейнеризированных приложений на базе Kubernetes и ближайший в РФ аналог продукту Red Hat Openshift.

Наша команда активно расширяется и ищет AppSec-инженера.

Твои задачи:

Осуществлять оценку безопасности и проверку на несанкционированный доступ к системе управления контейнерами (ручные и автоматические методы тестирования);
Исследовать код, библиотеки и компоненты с открытым исходным кодом на наличие уязвимостей посредством статического анализа, оценки компонентов и динамического тестирования безопасности;
Оценивать векторы атак на приложения в контейнерах, программные интерфейсы и инфраструктурные элементы.

Опционально:

Интегрировать DevSecOps-методологии в процессы разработки программного обеспечения;
Проводить внутреннее обучение сотрудников принципам создания безопасного программного обеспечения.

Наши ожидания:

Опыт работы в сфере защиты программных решений от трех лет;
Владение принципами безопасности по классификациям OWASP Top 10, CWE, CVSS, а также методологиями разработки защищенного кода;
Умение анализировать безопасность веб-систем и программных интерфейсов с использованием инструментов Burp Suite, ZAP и Postman;
Применение автоматизированных средств для выявления уязвимостей в исходном коде и компонентах (Checkmarx, SonarQube, Snyk, Trivy);
Навыки устранения проблем безопасности в библиотеках с открытым исходным кодом;
Компетенции в обеспечении безопасности Kubernetes-окружений и контейнеризации (включая работу с NeuVector, Falco, политиками безопасности Pod);
Понимание протоколов и механизмов защиты: TLS/SSL, инфраструктуры открытых ключей, OAuth2 и JWT;
Владение операционной системой Linux и методами анализа журналов безопасности.