Security Researcher (Software Composition Analysis)
PCA Cyber Security
Rola koncentruje się na analizie binarnej oprogramowania wbudowanego (szczególnie Android i Linux) w celu identyfikacji komponentów open-source i własnościowych oraz generowania SBOM (Software Bill of Materials). Nie jest to typowy pentest ani ofensywne bezpieczeństwo — to praca strukturalna i forensyczna, wspierająca bezpieczeństwo łańcucha dostaw. Będziesz tworzyć reguły dla wewnętrznej platformy analitycznej, testować ją i ulepszać, aby maksymalizować wykrywanie podatności przy minimalnej liczbie fałszywych alarmów. Wymagana jest głęboka znajomość architektury Androida (Treble, HIDL/AIDL, partycje systemowe) oraz umiejętność stosowania haszowania podobieństwa (Fuzzy Hashing, LSH) do znajdowania zmodyfikowanych bibliotek.
Brakuje: brak opisu procesu rekrutacyjnego (liczba etapów, zadanie domowe, rozmowy), nie podano wielkości zespołu ani struktury.
Rola koncentruje się na analizie binarnej oprogramowania wbudowanego (szczególnie Android i Linux) w celu identyfikacji komponentów open-source i własnościowych oraz generowania SBOM (Software Bill of Materials). Nie jest to typowy pentest ani ofensywne bezpieczeństwo — to praca strukturalna i forensyczna, wspierająca bezpieczeństwo łańcucha dostaw. Będziesz tworzyć reguły dla wewnętrznej platformy analitycznej, testować ją i ulepszać, aby maksymalizować wykrywanie podatności przy minimalnej liczbie fałszywych alarmów. Wymagana jest głęboka znajomość architektury Androida (Treble, HIDL/AIDL, partycje systemowe) oraz umiejętność stosowania haszowania podobieństwa (Fuzzy Hashing, LSH) do znajdowania zmodyfikowanych bibliotek.
- ✓Wewnętrzna platforma do SCA – praca nad własnym produktem, a nie tylko konsulting
- ✓Międzynarodowe projekty i płaska struktura organizacyjna
- ✓Budżet szkoleniowy i wsparcie rozwoju osobistego
- −Brak informacji o procesie rekrutacyjnym
- −Mała firma (10-49 osób) – może oznaczać ograniczone zasoby i mniej strukturyzowane procesy
- !Wymagane 3+ lata, ale poziom rekrutacji to 'regular' – może być niedoprecyzowane
- !Benefits po węgiersku (relokacja, home office) – sugerują lokalną rekrutację, ale oferta po polsku/angielsku
- !Szeroki zakres preferowanych technologii (RTOS, LLM, C/C++, Ghidra) – może wskazywać na wysokie oczekiwania
- !Home office wymieniony w benefitach, ale dane strukturalne mówią 'office' – niejasny model pracy
- •Ekstrakcja metadanych z plików ELF, DEX/ART oraz kontenerów .apk, .jar, .apex
- •Definiowanie reguł dla wewnętrznej platformy do automatycznego rozpakowywania obrazów firmwarowych i enumeracji komponentów
- •Testowanie platformy na różnych obrazach oprogramowania wbudowanego i analiza wyników
- •Mapowanie zidentyfikowanych komponentów do baz podatności (CPE, PURL) w celu oceny ryzyka
- •Stosowanie Fuzzy Hashing i Locality Sensitive Hashing (LSH) do identyfikacji zmodyfikowanych bibliotek
- •Analiza partycji /system, /vendor, /product w systemie Android w celu śledzenia pochodzenia oprogramowania
- •Automatyzacja pipeline'ów analitycznych przy użyciu skryptów (Python, Bash itp.)
- •Współpraca z małym zespołem nad udoskonalaniem procesów SCA
Oferta skierowana do developerów z doświadczeniem komercyjnym (Mid).
Minimum to candidate z 3 latami doświadczenia w embedded security lub embedded development, z dobrą znajomością Linuxa i Androida (Treble, HIDL/AIDL), umiejętnością programowania oraz podstawami identyfikacji komponentów poprzez haszowanie podobieństwa.
Juniorzy bez doświadczenia w embedded; osoby szukające pracy w offensive security (pentesting); osoby niechętne do głębokiej, żmudnej analizy binarnej i pracy z niskopoziomowymi formatami plików.
- ?Ile osób liczy zespół Security Research?
- ?Jaki jest stosunek pracy nad platformą wewnętrzną do pracy nad projektami klienckimi?
- ?Czy model pracy to pełne biuro w Budapeszcie, czy istnieje możliwość pracy zdalnej?
- ?Czy istnieje dyżur on-call lub oczekiwanie dostępności po godzinach?
- ?Jaki jest stosowany stack technologiczny wewnętrznej platformy analitycznej?
- ?Czy oferujecie wsparcie relokacyjne dla osób spoza Węgier?
- ?Jak wygląda ścieżka rozwoju – czy można awansować na Senior Security Researcher lub Lead?
- −Brak opisu procesu rekrutacyjnego (liczba etapów, zadanie domowe, rozmowy)
- −Nie podano wielkości zespołu ani struktury
- −Brak informacji o ewentualnym okresie próbnym
- −Nie wiadomo, czy stanowisko wymaga znajomości języka węgierskiego (mimo lokalizacji w Budapeszcie)
Mały, szybki zespół specjalistów cyberbezpieczeństwa z silną etyką, skupiony na ciągłym rozwoju i współpracy. Płaska struktura i międzynarodowe projekty.