Position

Application Security Analyst,

Saint Petersburg

Location


Saint Petersburg

Project Description


В течение последних 10 лет мы занимаемся выявлением и предотвращением проблем и рисков безопасности в постоянно растущем наборе программных решений, разрабатываемых одним из наших крупнейших европейских заказчиков.
Разработанный нами процесс анализа приложений на соответствие стандартам безопасности полностью интегрирован с жизненным циклом разработки приложений заказчика. Он включает в себя:
• анализ бизнес требований и технической документации по новым приложениям и проектам;
• моделирование угроз, основанное на технической документации по новым программным продуктам и существующим системам;
• статический анализ исходного кода;
• аудит приложений на соответствие внешним и внутренним требованиям и стандартам безопасности.

Данный подход подразумевает постоянный обмен опытом между членами команды и командой разработчиков, а также изучение мирового опыта в обеспечении безопасности данных и приложений.

Responsibilities


    • Участие в обсуждении и формировании бизнес требований и технической документации планируемых решений для уменьшения и предотвращения потенциальных рисков безопасности на самом раннем этапе жизненного цикла программного продукта;
    • Подготовка и написание тестовых сценариев для аудита на основе бизнес требований и технической документации по проекту и вовлеченным системам;
    • Выявление дефектов и уязвимостей в новых и существующих программных продуктах с использованием следующих подходов:
    • Статический анализ исходного кода (преимущественно приложения на Java & J2EE, и мобильные приложения под iOS и Android) с помощью Fortify SCA;
    • Динамический анализ приложений на наличие уязвимостей и дефектов безопасности.
    • Разработка рекомендаций для разработчиков по устранению выявленных пробелов в безопасности;
    • Подготовка best practices для безопасной разработки;
    • Оптимизация и автоматизация процесса проведения аудита;
    • Настройка (разработка новых правил) средств статического анализа кода и web-сканнеров.

Skills


Must have

    • Интерес в профессиональном росте в области Application Security;
    • Понимание принципов построения и работы современных веб-приложений;
    • Уровень английского: Upper Intermediate;
    • Высшее образование в области IT;
    • Уверенные знания основных концепций информационной безопасности: доступность, конфиденциальность, целостность, угроза, уязвимость, аутентификация, авторизация, шифрование как симметричное, так и с открытым ключом, цифровая подпись и пр.
    • Уверенные знания основных дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и мобильных приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
    • Опыт работы в качестве Application Security Analyst или похожей должности (Penetration testing, etc.) более 2 лет;
    • Опыт работы с DAST инструментами: OWASP ZAP, Burp Suite или аналогичными;
    • Опыт работы с SAST инструментами: Fortify SCA или аналогичными;
    • Уверенные знания сетевых технологий, принципов работы интернет протоколов, видов атак на них;
    • Уверенные знания языков программирования и разработки скриптов - Java, Python, powershell, bash
    • Аналитический склад ума, внимание к деталям, нацеленность на результат.

Nice to have

    • Наличие профильных сертификатов, подтверждающих квалификацию, знания и навыки в области информационной безопасности: OSCP, CEH или др.;
    • Знакомство с международными стандартами в области информационной безопасности и защиты персональных данных: ISO 27XXX, PCI DSS, EUGDPR и др.;
    • Знакомство со стандартами, фреймворками из области информационной безопасности и опыт работы с ними: SAML, OAuth, WS-Security, X.509, SAML, JAAS, SSL/TLS, OpenSSO, OpenIAM и др.;
    • Опыт участия в CTF или в программах bug bounty;
    • Опыт администрирования ОС Linux, MS Windows;
    • Опыт разработки Web или мобильных приложений.

Languages


English: B1 Intermediate

Relocation package


If needed, we can help you with relocation process. Click here for more details: see more details

Work Type


Java

Ref Number


VR-50357

Explore More

LoGeek Magazine
icon Logeek Luxoft
Learn more
Events
icon Events Luxoft
Learn more
Relocation Program
icon Relocation Luxoft
Learn more
Referral
Platform
icon Referral Luxoft
Learn more
Students
and Grads
icon Students Luxoft
Learn more

More job opportunities in
Java

Specialization Position / Title Location Send to a friend
Java Senior Java Developer Saint Petersburg, RU
Java Senior Java developer Saint Petersburg, RU
Java Senior Java developer Saint Petersburg, RU
Java Senior Java Full Stack developer Saint Petersburg, RU