Bright minds,
sharp solutions

Luxoft is a global IT service provider of innovative technology solutions that delivers measurable business outcomes to multinational companies. Its offerings encompass strategic consulting, custom software development services, and digital solution engineering. Luxoft enables companies to compete by leveraging its multi-industry expertise in the financial services, automotive, communications, and healthcare & life sciences sectors. For more information, please visit the website.

Position:

Application Security Analyst / Penetration Testing

Project Description

Вам может быть интересна эта вакансия если:
• Вы интересуетесь безопасностью Web или мобильных приложений;
• Вы чувствуете, что написали достаточно кода в своей жизни и готовы к новым испытаниям;
• Вы хотите стать архитектором, специалистом по информационной безопасности, этичным хакером - или всем вместе.

Наша команда состоит из специалистов в разных областях информационной безопасности. Больше десяти лет мы занимаемся обеспечением безопасности приложений крупного европейского заказчика.
Используемый нами процесс анализа приложений на соответствие стандартам безопасности полностью интегрирован с жизненным циклом разработки приложений заказчика. Он включает в себя:
• анализ бизнес-требований и технической документации по новым приложениям и проектам;
• моделирование угроз, основанное на технической документации для новых программных продуктов и существующих систем;
• статический анализ исходного кода;
• динамический аудит приложений на общий уровень безопасности и соответствие внешним и внутренним требованиям и стандартам безопасности.

Данный подход подразумевает постоянный обмен опытом между членами команды и командой разработчиков, а также изучение передовых техник и подходов в обеспечении безопасности приложений.

Responsibilities

• Участие в обсуждении и формировании бизнес требований и технической документации планируемых решений для уменьшения и предотвращения потенциальных рисков безопасности на самом раннем этапе жизненного цикла программного продукта;
• Подготовка и написание тестовых сценариев для аудита на основе бизнес требований и технической документации по проекту и вовлеченным системам;
• Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов:
o Статический анализ исходного кода (преимущественно Web-приложения на Java & J2EE и мобильные приложения под iOS и Android) с помощью таких инструментов, как HPE-MicroFocus Fortify SCA;
o Динамический анализ и сканирование приложений на наличие уязвимостей с помощью таких инструментов, как Burp Suite;
o Ручное проведение интеллектуальных атак (hacking) программных продуктов, развернутых на тестовых площадках;
• Разработка рекомендаций для разработчиков по устранению выявленных пробелов в безопасности, а также развитие имеющихся guidelines и best practices;
• Настройка (разработка новых правил) средств статического анализа кода и web-сканнеров.

Skills

Must

• Заинтересованность в профессиональном развитии в области безопасности веб приложений (Application Security);
• Понимание принципов построения и работы современных веб-приложений;
• Уровень английского: Upper-Intermediate;
• Высшее образование в области IT;
• 2 и более лет опыта в качестве разработчика в одной из следующих областей:
o Мобильные приложения: Android или iOS,
o Java & J2EE приложения на основе следующих фреймворков и технологий Spring, Hibernate, Log4j, Struts, JSP, EJB, JPA и т.д.
• Опыт проведения code review;
• Аналитический склад ума, внимание к деталям, нацеленность на результат.

Nice to have

Будет большим плюсом
• Знание основных концепций информационной безопасности: доступность, конфиденциальность, целостность, угроза, уязвимость, аутентификация, авторизация, шифрование (как симметричное, так и с открытым ключом), цифровая подпись и пр.;
• Знание международных стандартов в области информационной безопасности и защиты персональных данных: ISO 27001, PCI DSS, EUGDPR и др.;
• Знание стандартов, фреймворков из области информационной безопасности и опыт работы с ними: SAML, OAuth, WS-Security, X.509, SAML, JAAS, SSL/TLS, OpenSSO, OpenIAM и др.;
• Знание основных дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
• Опыт участия в CTF или в программах bug bounty;
• Образование (курсы) в области информационной безопасности, «этичного хакинга», тестирования на проникновение, безопасной разработки.

Languages

  • English: Intermediate

Relocation package

If needed, we can help you with relocation process. Click here for more details:

WHERE
Saint Petersburg
Work Type
Java
ADD TO MY JOBS
RECOMMEND A FRIEND
Apply

Check us out on:


More job opportunities in Java

Specialization Position / Title Location Send to a friend
Java Senior Java Devloper Saint Petersburg, RU Apply or Add to my jobs
Java Regular/Senior Java Embedded Developer Saint Petersburg, RU Apply or Add to my jobs
Java Regular Java/Oracle developer Saint Petersburg, RU Apply or Add to my jobs
Java Senior Java Developer Saint Petersburg, RU Apply or Add to my jobs
Java Senior Java Developer Saint Petersburg, RU Apply or Add to my jobs
Java Senior Java Developer Saint Petersburg, RU Apply or Add to my jobs
Java Java Developer for Data Quality Saint Petersburg, RU Apply or Add to my jobs
Java Senior Java Developer Saint Petersburg, RU Apply or Add to my jobs
Java Senior / Lead Java Developer Saint Petersburg, RU Apply or Add to my jobs
Java Senior/Lead Java/Oracle developer Saint Petersburg, RU Apply or Add to my jobs
Java Java Developer Saint Petersburg, RU Apply or Add to my jobs
Java Senior Java Developer Saint Petersburg, RU Apply or Add to my jobs