Мы ищем инженера по безопасной разработке, готового развиваться в области безопасности ПО. Ваша задача — помогать внедрять практики безопасности на всех этапах жизненного цикла разработки. Обучаем, поддерживаем, даем возможность работать с современными инструментами.
Чем предстоит заниматься:
- Проведение анализа кода на уязвимости с использованием SAST/DAST-инструментов и базового фаззинг-тестирования
- Мониторинг уязвимостей в сторонних библиотеках с помощью SCA-анализаторов
- Поиск потенциальных утечек секретов (API-ключи, пароли) в коде
- Участие во внедрении инструментов безопасности в CI/CD-конвейеры
- Работа с отчетами об уязвимостях: оценка критичности, разметка результатов
- Помощь в построении процессов безопасной разработки (SSDLC)
- Сопровождение соответствия стандартам (ГОСТ Р 56939-2024, техническая сторона)
Наши пожелания к кандидату:
- Базовые навыки работы в Linux и командной строке
- Умение писать простые скрипты на Python/Bash для автоматизации задач
- Понимание принципов безопасной разработки (OWASP Top 10, базовые концепции SSDLC)
- Опыт или знакомство с SAST/DAST-инструментами (хотя бы на уровне курсов/пет-проектов)
- Готовность изучать интеграцию инструментов безопасности в CI/CD
Будет плюсом:
- Знание Java или умение читать код на нем
- Опыт работы с инструментами статического (SAST) и динамического (DAST) анализа, а также фаззерами для Java
- Опыт работы с SCA-анализаторами (например, Dependency-Track, Trivy) для выявления уязвимостей в зависимостях
- Знание инструментов для поиска секретов в коде (например, TruffleHog)
- Опыт работы с инструментами статического анализа: CodeChecker, Bandit, Perlcritic, Rubocop, Staticcheck
- Опыт работы с динамическими анализаторами: Drmemory, Coverage, Devel::Cover, Deep-cover
- Знание и применение фаззеров, таких как American Fuzzy Lop (AFL++)
- Опыт работы с инструментами анализа зависимостей (Dependency-Track, Trivy)
- Знание инструментов для поиска утечек секретов (TruffleHog, Trivy, DumpsterDiver )
- Опыт внедрения и настройки SVACE и SVACER для анализа кода
- Опыт работы с системами управления уязвимостями (Vulnerability Management)
Мы предлагаем:
- Работа в аккредитованной IT-компании, продукты которой находятся в реестре российского ПО.
- Конкурентный уровень заработной платы (обсуждается с успешным кандидатом).
- Работа в команде квалифицированных специалистов с возможностью карьерного и профессионального роста.
- Формат работы - гибридный/офисный.
- ДМС через 3 месяца работы.
- Оформление в соответствии с ТК РФ.