Ведущий инженер по поиску уязвимостей/Bug Hunter

Компания "UserGate"

О нас

24 часа в сутки мы детектируем атаки и с максимальной скоростью разрабатываем и публикуем рекомендации по защите информации наших клиентов.

UserGate вкладывает много ресурсов в развитие технологий. Это далеко не норма в нашей отрасли, где можно получить относительно быстрый результат, используя программное обеспечение с открытым кодом. Мы вкладываемся в развитие собственной аппаратной части, в исследование новых высокопроизводительных алгоритмов, развитие собственных решений, основанных на проприетарном коде и экспертизе. Мы больше чем софтовая компания – мы создаем и развиваем технологии.

Наша миссия – защита инфраструктуры цифрового мира технологиями, которым доверяют вне зависимости от границ.

Мы ищем Ведущего инженера по поиску уязвимостей, который будет играть ключевую роль в построении и развитии культуры безопасной разработки в нашей компании.

Чем предстоит заниматься

• проведение динамического анализа системного и прикладного ПО, модулей ядра (фаззинг-тестирование/символьное исполнение/анализ помеченных данных, определение и актуализация поверхности атаки);
• разбор результатов работы средств динамического анализа (проверка выявляемых дефектов, приоритизация, поиск решений для их устранения, кроссверификация результатов анализа);
• настройка и развитие инструментов DAST, интеграция с другими средствами анализа, повышение эффективности их работы;
• автоматизация сценариев применения инструментов DAST, интеграция средств анализа в процессы CI/CD;
• поиск уязвимостей веб-приложений при помощи инструментов DAST;
• анализ и подтверждение дефектов, выявленных DAST-инструментом, предоставление рекомендаций по их устранению.

Наши ожидания

• опыт работы с инструментами фаззинга (AFL/AFL++, libFuzzer), опыт написания оберток, анализа результатов, в том числе кроссверификации ранее полученных результатов, подготовки патчей, определения и актуализации поверхности атаки;

• опыт работы с инструментами символьного исполнения и/или анализа помеченных данных;

• опыт интеграции различных средств анализа с целью повышения их эффективности;

• опыт интеграции инструментов DAST в CI/CD-пайплайны;

• опыт разработки на C/C+;

• опыт работы с DevOps-инструментами (Git, Docker);

• навыки применения скриптовых языков (Python, Bash).

Будет плюсом:

• понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps;
• опыт применения syzkaller или других средств фаззинга уровня ядра ОС;
• опыт доработки инструментов DAST/доработки мутаторов с целью повышения их эффективности;
• опыт взаимодействия с OpenSource-сообществом в вопросах подготовки патчей и устранения выявляемых ошибок;
• успешный опыт участия в программах Bug Bounty, CTF;
• опыт работы с DAST решениями: Burp Suite, OWASP Zap.

Мы предлагаем

• возможность развития в растущей компании с большими амбициями;

• команду с сильной ИБ экспертизой;

• достойную оплату труда (обсуждаем на собеседовании);

• гибкое начало рабочего дня;

• бенефиты: ДМС со стоматологией, стационаром и помощью на дому, страхование родственников, компенсация абонементов на любой вид спорта, подарки к мероприятиям;

• комфортный офис в Академпарке.