Специалист по безопасной разработке приложений (AppSec)

• Анализировать безопасность кода и архитектуры, вести документацию в соответствии с ГОСТ 56939-2016, исследовать компоненты ПО на наличие уязвимостей, консультировать разработчиков.
• Развивать метод анализа кода – тонкая настройка средств статического анализа кода, документирование методик и результатов проведения анализа;
• Подготавливать отчёты, вносить улучшения в процесс безопасной разработки.
• Моделировать угрозу по методикам STRIDE и STACK
• Работать с SBOM (Software Bill of Materials), производить анализ уязвимостей в компонентах.
• Подготавливать конфиги для инструментов в CI/CD (но не построение самих пайплайнов — это задача DevOps).

Для нас важно:

• Обязательно наличие высшего образования, связанного с ИТ и(или) сферой безопасной разработки ПО/математика, физика.
• Основной стек: C# + JavaScript/TypeScript
• Понимание, на что конкретное срабатывание анализатора может повлиять с точки зрения безопасности.
• Навыки администрирования ОС Linux.
• UML (для моделирования угроз и понимания архитектуры ПО).
• Понимание технологии контейнеризации и опыт работы с Docker.
• Понимание технологии CI/CD.
• Понимание технологии компиляции программных продуктов; опыт работы с GCC, LLVM, MSVC.
• Умение выбирать и применять на практике инструменты безопасности, такие как SAST, SCA, а также интерпретировать полученные с помощью них результаты.
• Понимание методик AppSec и DevSecOps.
• Знание стандартов: ISO/IEC 14882:2014, 14882:2017, 14882:2020; ECMA-334, ECMA-262.
• Знание английского языка на уровне чтения технической литературы.
• Сильные аналитические способности, усидчивость (срабатываний бывает очень много, требуется многочасовая кропотливая работа).

Что мы предлагаем:

• Официальное трудоустройство по ТК РФ.
• График работы: 5/2, 8-часовой рабочий день.
• Оплачиваемый отпуск и больничный согласно ТК РФ.