Специалист по безопасности приложений (AppSec/SAST)

Вакансия открыта в связи с расширением Службы анализа кода. Возможен гибридный (для Москвы) или удалённый (для регионов) формат работы.

Требования:

• высшее образование (ИБ, ИТ),
• опыт от 2-х лет опыт работы по направлению Application Security, специалиста по проведению статического анализа кода на безопасность (SAST),
• знание уязвимостей информационных систем и ПО, их классификации и порядка оценки критичности (OWASP, CVSS, CWE, CVE),
• знание современных подходов по разработке безопасного ПО,
• опыт работы с инструментами CI/CD,
• знание основных сетевых протоколов и сервисов,
• умение выполнять анализ выданных анализатором предупреждений вручную, оценивать влияние выявленных ошибок на безопасность ПО.

Будет плюсом:

• знание языков программирования на уровне достаточном для понимания исходного кода и обнаружения уязвимостей (Java, Kotlin, JavaScript, Python – что-либо из перечисленного),
• знания требований законодательства РФ и регуляторов, а также рекомендации международных и отечественных стандартов в области обеспечения безопасной разработки ПО.

Задачи:

• проведение статического анализа и экспертизы исходного кода в отношении разрабатываемого ПО (пишем преимущественно на Java, Kotlin, C++ и JavaScript),
• анализ (экспертиза) исходного кода на выявление опасных конструкций, не декларированных возможностей,
• исследование результатов анализа, выявление критичных недостатков с рекомендациями для команд разработки в части их устранения,
• оформление отчетных материалов по результатам работ,
• взаимодействие с командами разработки по вопросам устранения выявленных недостатков,
• экспертная поддержка команд разработки в рамках компетенции.