Инженер по безопасности at Y-MEX

Описание вакансии

Ключевые обязанности

• Самостоятельно или в сотрудничестве проводить аудит кода (преимущественно PHP/Java) для проектов компании, выявляя высокорисковые уязвимости и риски бизнес-логики.
• Выполнять тестирование на проникновение по методу "черного ящика" для ключевых систем, моделируя стратегии злоумышленников для подтверждения уязвимостей безопасности.
• Участвовать в учениях "красной" и "синей" команд внутри компании, мероприятиях по реагированию на инциденты и воспроизведению уязвимостей для определения коренных причин инцидентов безопасности.
• Участвовать в оценке безопасности внутренних продуктов, создавая доказательства концепции (POC) уязвимостей, демонстрации их воспроизведения и отчеты по аудиту.
• Мониторить и отслеживать высокорисковые уязвимости отрасли (например, RCE, десериализация, SSRF, инъекции в цепочку поставок) и помогать в раскрытии уязвимостей внешним сторонам и отчетности поставщикам.
• Обучать и наставлять младших инженеров по безопасности для повышения общей технической компетенции команды.

Требования к кандидату

• Глубокие знания в области аудита кода, особенно для приложений на PHP и Java.
• Подтвержденный опыт в тестировании на проникновение по методу "черного ящика" и оценке уязвимостей.
• Знание учений "красной" и "синей" команд и процедур реагирования на инциденты.
• Способность создавать детальные отчеты об уязвимостях, POC и рекомендации по их устранению.
• Знание распространенных уязвимостей безопасности, таких как RCE, SSRF и дефекты десериализации.
• Отличные коммуникативные навыки и способность наставлять младших членов команды.

Предпочтительные квалификации

• Опыт работы с безопасностью цепочки поставок и процессами раскрытия уязвимостей.
• Сертификаты, такие как OSCP, CISSP или CEH, будут преимуществом.
• Опыт в разработке программного обеспечения или практиках безопасного кодирования.