Подробное описание вакансии

Обязанности

Участие в подготовке пакета документов для сертификационных испытаний (по требованиям ФСТЭК России). Исследование архитектуры и функционала СЗИ на соответствие требованиям ФСТЭК и выявление потенциальных уязвимостей. Взаимодействие с командой разработки: объяснение найденных проблем, контроль исправлений, консультации по безопасной разработке. Организация и проведение фаззинг-тестирования критических компонентов ПО с использованием AFL++, SharpFuzz/WinSharpFuzz (или аналогов), включая разработку тестовых модулей/обёрток для целей испытаний и формирования входных данных (corpus). Статический анализ исходного кода защищаемых продуктов (в том числе с использованием Svace / SonarQube и аналогов). Выявление и верификация уязвимостей, подготовка детальных технических отчётов (описание воспроизведения, оценка риска, рекомендации по устранению)

Требования к соискателю

Высшее образование в сфере информационной безопасности. Допускается иное высшее образование при наличии документа о профессиональной переподготовке или повышении квалификации в области информационной безопасности Опыт работы от 3-х лет в ИБ или разработке (выявление уязвимости), навыки программирования С, С++ обязательны Навыки работы с инструментом AFL++ Опыт выявления уязвимостей программных средств, OpenVAS, Metasploit Навыки исследования архитектуры тестируемого программного обеспечения Понимание процесса сборок исполняемых модулей на базе Linux (ELF формат), Windows (PE формат) Понимание сущности уязвимостей списка OWASP Top 10 Чтение и анализ кода на языках C++, C#, Python, Java Знание архитектуры POSIX-совместимых операционных систем (Unix, Linux) и Miscrosoft Windows