Bright minds,
sharp solutions

Luxoft is a global IT service provider of innovative technology solutions that delivers measurable business outcomes to multinational companies. Its offerings encompass strategic consulting, custom software development services, and digital solution engineering. Luxoft enables companies to compete by leveraging its multi-industry expertise in the financial services, automotive, communications, and healthcare & life sciences sectors. For more information, please visit the website.

Position:

Senior Application Security Analyst - Penetration Tester

Project Description

Наша команда состоит из специалистов в разных областях информационной безопасности. В течение последних 8 лет мы занимаемся выявлением проблем и рисков безопасности в постоянно растущем наборе программных решений, разрабатываемых одним из наших крупнейших европейских заказчиков.
Разработанный нами процесс анализа приложений на соответствие стандартам безопасности полностью интегрирован с жизненным циклом разработки приложений заказчика. Он включает в себя:

• анализ бизнес требований и технической документации по новым приложениям и проектам;
• моделирование угроз, основанное на технической документации по новым программным продуктам и существующим системам;
• статический анализ исходного кода;
• динамический аудит приложений на общий уровень безопасности и соответствие внешним и внутренним требованиям и стандартам безопасности.

Данный подход подразумевает постоянный обмен опытом между членами команды и командой разработчиков, а также изучение мирового опыта в обеспечении безопасности данных.

Responsibilities

• Участие в обсуждении и формировании бизнес требований и технической документации планируемых решений для уменьшения и предотвращения потенциальных рисков безопасности на самом раннем этапе жизненного цикла программного продукта;
• Подготовка и написание тестовых сценариев для аудита на основе бизнес требований и технической документации по проекту и вовлеченным системам;
• Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов:
o Статический анализ исходного кода (преимущественно приложения на Java & J2EE, и мобильные приложения под iOS и Android) с помощью таких инструментов, как HPE-MicroFocus Fortify SCA;
o Динамический анализ и сканирование приложений на наличие уязвимостей с помощью таких инструментов, как Burp Suite;
o Ручное проведение интеллектуальных атак (hacking) программных продуктов, развернутых на тестовых и производственных площадках;
• Разработка рекомендаций для разработчиков по устранению выявленных пробелов в безопасности, а также развитие имеющихся guidelines и best practices;
• Оптимизация и автоматизация процесса проведения аудита;
• Настройка (разработка новых правил) средств статического анализа кода и web-сканнеров.

Skills

Must

• Заинтересованность в профессиональном развитии в области Application Security;
• Понимание принципов построения и работы современных веб-приложений;
• Уровень английского: Intermediate;
• Высшее образование в области IT;
• Знание основных концепций информационной безопасности: доступность, конфиденциальность, целостность, угроза, уязвимость, аутентификация, авторизация, шифрование как симметричное, так и с открытым ключем, цифровая подпись и пр.;
• Знание основных дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
• 2 и более лет опыта работы в качестве Application Security Analyst - Penetration tester или на аналогичной должности;
• Опыт работы с DAST инструментами: OWASP ZAP, Burp Suite или аналогичными;
• Знание сетевых технологий, принципов работы интернет протоколов, видов атак на них;
• Знание языков программирования и разработки скриптов - Java, Python, powershell, bash
• Аналитический склад ума, внимание к деталям, нацеленность на результат.

Будет большим плюсом
• Наличие профильных сертификатов подтверждающих квалификацию, знания и навыки в области информационной безопасности: OSCP, CEH или др.;
• Знание международных стандартов в области информационной безопасности и защиты персональных данных: ISO 27001, PCI DSS, EUGDPR и др.;
• Знание стандартов, фреймворков из области информационной безопасности и опыт работы с ними: SAML, OAuth, WS-Security, X.509, SAML, JAAS, , SSL/TLS, OpenSSO, OpenIAM и др.;
• Опыт участия в CTF или в программах bug bounty;
• Опыт администрирования ОС Linux, MS Windows;
• Опыт разработки Web или мобильных приложений.

Nice to have

*

Languages

  • English: Pre-intermediate

Relocation package

If needed, we can help you with relocation process. Click here for more details:

WHERE
Saint Petersburg
Work Type
QA automation
ADD TO MY JOBS
RECOMMEND A FRIEND
Apply

Check us out on:


More job opportunities in QA automation

Specialization Position / Title Location Send to a friend
QA automation Automation QA engineer Saint Petersburg, RU Apply or Add to my jobs
QA automation Quality Assurance Engineer Saint Petersburg, RU Apply or Add to my jobs
QA automation Senior/Regular QA Automation Saint Petersburg, RU Apply or Add to my jobs
QA automation Senior QA Automation Engineer Saint Petersburg, RU Apply or Add to my jobs