Инженер по безопасной разработке/DevSecOps

Мы ищем инженера по безопасной разработке, готового развиваться в области безопасности ПО. Ваша задача — помогать внедрять практики безопасности на всех этапах жизненного цикла разработки. Обучаем, поддерживаем, даем возможность работать с современными инструментами.

Чем предстоит заниматься:

• Проведение анализа кода на уязвимости с использованием SAST/DAST-инструментов и базового фаззинг-тестирования
• Мониторинг уязвимостей в сторонних библиотеках с помощью SCA-анализаторов
• Поиск потенциальных утечек секретов (API-ключи, пароли) в коде
• Участие во внедрении инструментов безопасности в CI/CD-конвейеры
• Работа с отчетами об уязвимостях: оценка критичности, разметка результатов
• Помощь в построении процессов безопасной разработки (SSDLC)
• Сопровождение соответствия стандартам (ГОСТ Р 56939-2024, техническая сторона)

Наши пожелания к кандидату:

• Базовые навыки работы в Linux и командной строке
• Умение писать простые скрипты на Python/Bash для автоматизации задач
• Понимание принципов безопасной разработки (OWASP Top 10, базовые концепции SSDLC)
• Опыт или знакомство с SAST/DAST-инструментами (хотя бы на уровне курсов/пет-проектов)
• Готовность изучать интеграцию инструментов безопасности в CI/CD

Будет плюсом:

• Знание Java или умение читать код на нем
• Опыт работы с инструментами статического (SAST) и динамического (DAST) анализа, а также фаззерами для Java
• Опыт работы с SCA-анализаторами (например, Dependency-Track, Trivy) для выявления уязвимостей в зависимостях
• Знание инструментов для поиска секретов в коде (например, TruffleHog)
• Опыт работы с инструментами статического анализа: CodeChecker, Bandit, Perlcritic, Rubocop, Staticcheck
• Опыт работы с динамическими анализаторами: Drmemory, Coverage, Devel::Cover, Deep-cover
• Знание и применение фаззеров, таких как American Fuzzy Lop (AFL++)
• Опыт работы с инструментами анализа зависимостей (Dependency-Track, Trivy)
• Знание инструментов для поиска утечек секретов (TruffleHog, Trivy, DumpsterDiver )
• Опыт внедрения и настройки SVACE и SVACER для анализа кода
• Опыт работы с системами управления уязвимостями (Vulnerability Management)

Мы предлагаем:

• Стабильность, постоянное трудоустройство в быстрорастущей компании, занимающейся импортозамещением
• Работа в аккредитованной Минцифры IT-компании, продукты которой находятся в реестре российского ПО
• Комфорт: нет бюрократии, проводим собеседование в 1, max 2 этапа и быстро даем фидбек, гибкое начало рабочего дня и нет дресс-кода
• Плавный ввод в должность, период адаптации, наставничество
• Гибридный формат работы, офис возле м. Электросила
• ДМС со стоматологией
• Внутреннее и внешнее обучение
• Корпоративная жизнь - совместные образовательные, спортивные и развлекательные мероприятия