ID 2989 — Senior DevSecOps.

Локация: РФ, удаленно. Занятость: фуллтайм.

Требования (базовый уровень):

  • Знание основных типов уязвимостей и методов их эксплуатации; классификация уязвимостей по NIST, БДУ.
  • Глубокое понимание OWASP Top 10 (Web, API, Mobile, LLM и др.).
  • Умение выстроить процесс тестирования по фазам (PTES).
  • Опыт penetration testing веб‑приложений и API (Burp Suite Professional, ZAP).
  • Опыт статического и динамического анализа Android‑приложений (APKTool, Jadx, Android Studio); опыт получения root/jailbreak на мобильных устройствах.
  • Опыт работы с анализом сетевого трафика (Wireshark, tcpdump).
  • Опыт работы с Metasploit Framework и сканерами уязвимостей (Acunetix, MaxPatrol, Security Vision и т.д.).

Требования (продвинутый уровень):

  • Реверс‑инжиниринг (IDA Pro, Ghidra, Binary Ninja).
  • Binary exploitation: buffer overflow, ROP, use‑after‑free, heap exploitation.
  • Опыт анализа драйверов (Windows Kernel debugging — WinDbg, анализ Linux kernel).
  • Опыт анализа firmware (Binwalk, Firmadyne, Ghidra, анализ вложенных файловых систем).
  • Знания в криптографии (алгоритмы, common mistakes, side‑channel attacks).
  • Анализ сторонних библиотек (Dependency‑Check, Snyk, Mend, Black Duck).
  • Понимание Threat Modeling (STRIDE, PASTA).

Дополнительные требования:

  • Проведение Black Box, Grey Box и White Box тестирования.
  • Автоматизация процессов сканирования и анализа (скрипты, CI/CD).
  • Подготовка детальных отчётов с описанием уязвимостей, векторами атак, оценкой рисков (CVSS) и рекомендациями по устранению.
  • Участие в threat modeling новых решений и проведение архитектурного Security Review на стадии проектирования.
  • Проведение Code Review с точки зрения безопасности; консультирование команд разработки по Secure SDLC.

Будет плюсом:

  • Kubernetes security, Docker security, cloud security (Yandex/VK/Mail).
  • Опыт эксплуатации и защиты Active Directory, Windows/Linux hardening.
  • Скриптинг: Python, Bash (обязательно), PowerShell.
  • Опыт разработки эксплойтов, знание современных C2‑фреймворков и Red‑team техник.
  • Опыт участия в CTF, Red Team, bug bounty.