Вакансия открыта в связи с расширением Службы анализа кода. Возможен гибридный (для Москвы) или удалённый (для регионов) формат работы.
Требования:
- высшее образование (ИБ, ИТ),
- опыт от 2-х лет опыт работы по направлению Application Security, специалиста по проведению статического анализа кода на безопасность (SAST),
- знание уязвимостей информационных систем и ПО, их классификации и порядка оценки критичности (OWASP, CVSS, CWE, CVE),
- знание современных подходов по разработке безопасного ПО,
- опыт работы с инструментами CI/CD,
- знание основных сетевых протоколов и сервисов,
- умение выполнять анализ выданных анализатором предупреждений вручную, оценивать влияние выявленных ошибок на безопасность ПО.
Будет плюсом:
- знание языков программирования на уровне достаточном для понимания исходного кода и обнаружения уязвимостей (Java, Kotlin, JavaScript, Python – что-либо из перечисленного),
- знания требований законодательства РФ и регуляторов, а также рекомендации международных и отечественных стандартов в области обеспечения безопасной разработки ПО.
Задачи:
- проведение статического анализа и экспертизы исходного кода в отношении разрабатываемого ПО (пишем преимущественно на Java, Kotlin, C++ и JavaScript),
- анализ (экспертиза) исходного кода на выявление опасных конструкций, не декларированных возможностей,
- исследование результатов анализа, выявление критичных недостатков с рекомендациями для команд разработки в части их устранения,
- оформление отчетных материалов по результатам работ,
- взаимодействие с командами разработки по вопросам устранения выявленных недостатков,
- экспертная поддержка команд разработки в рамках компетенции.