Фірма: Hitachi
Опис роботи: перегляд і попереднє тестування додатків, послуг і продуктів, розроблених власними командами розробників; консультування команд розробників щодо передового досвіду, усунення та сортування вразливостей; проведення моделей загроз; виконання перевірки безпеки всіх додатків, інтегрованих у клієнт Okta (SAML і OIDC); проведення тестування ІТ-додатків Hitachi Vantara (веб/широкий клієнт/мобільний/API), розміщених локально та в загальнодоступному хмарному середовищі (Azure та AWS) та/або інфраструктурі; проведення досліджень вразливостей і використання готових експлойтів; рекомендування змін або покращень; задіяння на всіх етапах проєкту з розробки програмного забезпечення для забезпечення впровадження контролю безпеки та належної практики управління ризиками, включно з безпечним кодуванням, переглядом коду, скануванням програмного коду як частини процесу якості; аналіз першопричин на основі інформації про процеси, технології та зрілість інженерних груп; ведення перехресних функціональних проєктних дзвінків та сесій планування.
Вимоги до кандидата: щонайменше 5 років досвіду тестування безпеки програм, достатній рівень знання інженерії безпеки; досвід роботи з інструментами тестування безпеки (Burp Suite, Appscan, WebInspector, SQLMAP, Kali тощо); досвід захисту розгортань загальнодоступної хмари та розподілених систем за допомогою загальнодоступного хмарного хостингу, включно з AWS, GCP та Azure; досвід у розробці та впровадженні: управління ідентифікацією та доступом, SSO, SAML, Open ID, OAuth2 або технології 2FA; глибокі знання моделі загроз, мережевої безпеки, криптографії, аутентифікації, авторизації та RBAC; знання/досвід kubernetes є плюсом; досвід впровадження загальних структур безпеки та засобів контролю у високоавтоматизованих середовищах, особливо в середовищах CI/CD; чітке розуміння шаблонів безпеки додатків, включно зі стратегіями безпеки веб-додатків (OWASP top 10, XSS, CSRF, посилення безпеки платформи) та мобільної безпеки (відбитки пальців пристрою, мобільна аутентифікація та обмін ключами); можливість створювати сценарій або налаштовувати код атаки за потреби є плюсом; в ідеалі — визнана галузевою сертифікація: AWS Security, Azure Security, OSCP, OSCE або альтернативна.
Посилання на вакансію тут.