Специалист по безопасной разработке (DAST)

SberLinux OS - это семейство современных RPM-base дистрибутивов, разработанный внутри группы компаний СБЕР, для решения задач серверных и контейнерных вычислений с использованием передовых технологий контейнеризации и виртуализации.

Если тебе интересно быть мейнтейнером дистрибутива ОС на базе ядра Linux и репозиториев, участвовать в интересных и сложных задачах подготовки релизов дистрибутива - тогда тебе пора к нам в команду.

Обязанности

• поддержка и улучшение пайплайна автоматизации фаззинг-тестирования
• анализ реализации интерфейсов, реализующих поверхность атаки для ПО из состава SberLinux ОС
• участие в доработке используемых подходов к фаззинг-тестированию интерфейсов ПО
• разработка фаззинг-оберток для интерфейсов ПО
• анализ найденных багов: оценка их применимости, наличия влияния на безопасность продукта, подготовка рекомендаций по устранению.

Требования

• опыт фаззинг-тестирования с использованием AFL/libfuzzer, понимание основных концепций работы инструментов фаззинга
• знание общего устройства и принципов работы Linux-систем
• опыт системной разработки на C/C++ с использованием POSIX API
• знание видов уязвимостей, типичных для программ на C/C++, причин их появления и возможных способов их устранения
• базовое знание стека TCP/IP и основных протоколов, работающих поверх него
• опыт автоматизации рутинных задач с использованием скриптовых языков (желательно Python)
• базовый опыт работы с инструментами CI/CD (Jenkins, GitLab, BitBucket, etc.)
• базовый опыт работы с системами контейнеризации (Docker, Podman)
• опыт коллективной разработки с использованием task-трекеров (Jira, etc.).

Будет плюсом:

• опыт работы с RHEL-based дистрибутивами, пакетными менеджерами yum/dnf, опыт разработки rpm-пакетов с использованием rpmbuild/mock/koji
• продвинутый опыт разработки CI/CD пайплайнов с использованием средств мониторинга (например Grafana/Prometheus)
• опыт участия в процессе сертификации ПО по требованиям ФСТЭК
• опыт разработки и/или анализа безопасности кода на языках Java, Go
• опыт реверс-инжиниринга ПО
• опыт написания PoC (особенно для «бинарных» уязвимостей), наличие зарегистрированных CVE
• опыт участия в CTF, BugBounty программах.

Условия

• офис м. Ладожская
• годовой бонус и ежегодный пересмотр зарплаты
• статус аккредитованной ИТ-компании со всеми преимуществами
• расширенный ДМС с первого дня и льготное страхование для семьи
• корпоративный университет Сбера, внутренняя образовательная платформа, участие в IT-конференциях
• льготная ипотека в Сбере, подписка СберПрайм+, скидки от партнеров и сервисов группы компаний.