Инженер по анализу кода Java приложений

BASIS — разработчик программных продуктов для оказания облачных услуг и платформы динамической инфраструктуры.

Компания BASIS занимается поставкой и интеграцией решений виртуализации крупнейшим государственным и коммерческим заказчикам. Мы занимаем активную позицию в вопросе замещения импортных решений нашими.

- Проведением статического анализа кода (SAST) для выявления уязвимостей и потенциальных ошибок в Java-приложениях;
- Настройкой и использованием инструментов статического анализа (SonarQube, Checkmarx, Fortify, SpotBugs, PMD, Svacer);
- Разработкой и проведением фаззинг-тестов (Fuzzing) для поиска уязвимостей (на основе Jazzer, AFL++, libFuzzer);
- Анализом и устранением критических уязвимостей (OWASP Top 10, CWE, CVE).
- Проверкой кода на соответствие стандартам безопасности (CERT Secure Coding, MISRA);
- Участием в code review с акцентом на безопасность;
- Взаимодействием с разработчиками для исправления уязвимостей;
- Написанием отчетов и рекомендаций по улучшению безопасности кода;
- Интеграцией инструментов анализа в CI/CD (GitLab CI, Jenkins, GitHub Actions);
- Анализом крашей, написанием репортов и работой с upstream-разработчиками.

Что для нас важно:
- Высшее техническое в области информационной безопасности или прикладного
- Опыт работы с статическим анализом кода (SAST) и инструментами (SonarQube, Checkmarx, Fortify);
- Знание фаззинга и опыт работы с фаззерами (Jazzer, AFL++, libFuzzer).
- Глубокое понимание уязвимостей в Java (SQLi, XSS, Deserialization, RCE, Memory Leaks);
- Опыт работы с байткодом Java и анализом JVM-приложений;
- Знание криптографии (алгоритмы, уязвимости, best practices);
- Умение анализировать логи, дампы памяти и трассировки (jstack, jmap, Wireshark);
- Опыт работы с отладчиками и профилировщиками (JDB, VisualVM, Eclipse MAT);
- Знание CI/CD и систем контроля версий (Git);
- Английский язык (чтение технической документации, отчетов CVE).

Желательно:
- Опыт работы с динамическим анализом (DAST) (Burp Suite, OWASP ZAP);
- Опыт работы с контейнеризацией (Docker, Kubernetes);
- Участие в CTF, Bug Bounty или исследованиях в области кибербезопасности;
- Навыки обратной разработки (Reverse Engineering) Java-приложений (JD-GUI, JADX).

Что мы предлагаем:

• Трудоустройство согласно ТК РФ;

• Конкурентная заработная плата по итогам собеседования;

• Премии каждый квартал;

• График работы 5/2 пн-пт, гибкое начало дня;

• Социальный пакет (ДМС, оплата мобильной связи);

• Обучение внутри компании и на внешних курсах;

• Корпоративная программа лояльности.