Application Security, DevSecOps (обеспечение безопасности кода)

Вакансия открыта в связи с расширением Службы анализа кода. Возможен удалённый/гибридный формат работы.

Требования:

• высшее образование (информационная безопасность, информационные технологии);
• опыт работы по направлению Application Security, DevSecOps, DevOps от 2х лет;
• понимание принципов выявления уязвимостей из OWASP Top 10, OWASP Mobile Top 10, CWE Top 25,
• способность читать и анализировать код на следующих языках программирования: Java, JavaScript, Python (что-либо из перечисленного),
• опыт работы с инструментами безопасной разработки (SAST, DAST, SCA, Container Security),
• понимание концепций Shift-Left, Zero-Trust,
• опыт работы с инструментами CI/CD (Gitlab, Jenkins, Teamcity).

Будет плюсом:

• опыт внедрения практик по обеспечению цикла безопасной разработки ПО,
• знания требований законодательства РФ и регуляторов, а также рекомендации международных и отечественных стандартов в области обеспечения безопасной разработки ПО,
• понимание принципов оценки зрелости процессов безопасной разработки (OWASP SAMM/BSIMM/DAF).

Задачи:

• участие во внедрении практик разработки безопасного ПО,
• проведение статического анализа исходного кода программного обеспечения (SAST),

• проведение композиционного анализа программного обеспечения (SCA),

• проведение динамического анализа веб-приложений (DAST),

• проведение анализа образов контейнеров (CA),

• выполнение аудита дефектов/уязвимостей на предмет ложно-положительных срабатываний,

• осуществление экспертной поддержки команд разработки, рекомендации по устранению дефектов/уязвимостей,

• разработка документации, инструкций и схем процессов,

• участие в создании цикла SSDLC