Мы ищем инженера по безопасной разработке, готового развиваться в области безопасности ПО. Ваша задача — помогать внедрять практики безопасности на всех этапах жизненного цикла разработки. Обучаем, поддерживаем, даем возможность работать с современными инструментами.
Чем предстоит заниматься:
- Проведение анализа кода на уязвимости с использованием SAST/DAST-инструментов и базового фаззинг-тестирования
- Мониторинг уязвимостей в сторонних библиотеках с помощью SCA-анализаторов
- Поиск потенциальных утечек секретов (API-ключи, пароли) в коде
- Участие во внедрении инструментов безопасности в CI/CD-конвейеры
- Работа с отчетами об уязвимостях: оценка критичности, разметка результатов
- Помощь в построении процессов безопасной разработки (SSDLC)
- Сопровождение соответствия стандартам (ГОСТ Р 56939-2024, техническая сторона)
Наши пожелания к кандидату:
- Базовые навыки работы в Linux и командной строке
- Умение писать простые скрипты на Python/Bash для автоматизации задач
- Понимание принципов безопасной разработки (OWASP Top 10, базовые концепции SSDLC)
- Опыт или знакомство с SAST/DAST-инструментами (хотя бы на уровне курсов/пет-проектов)
- Готовность изучать интеграцию инструментов безопасности в CI/CD
Будет плюсом:
- Знание Java или умение читать код на нем
- Опыт работы с инструментами статического (SAST) и динамического (DAST) анализа, а также фаззерами для Java
- Опыт работы с SCA-анализаторами (например, Dependency-Track, Trivy) для выявления уязвимостей в зависимостях
- Знание инструментов для поиска секретов в коде (например, TruffleHog)
- Опыт работы с инструментами статического анализа: CodeChecker, Bandit, Perlcritic, Rubocop, Staticcheck
- Опыт работы с динамическими анализаторами: Drmemory, Coverage, Devel::Cover, Deep-cover
- Знание и применение фаззеров, таких как American Fuzzy Lop (AFL++)
- Опыт работы с инструментами анализа зависимостей (Dependency-Track, Trivy)
- Знание инструментов для поиска утечек секретов (TruffleHog, Trivy, DumpsterDiver )
- Опыт внедрения и настройки SVACE и SVACER для анализа кода
- Опыт работы с системами управления уязвимостями (Vulnerability Management)
Мы предлагаем:
- Стабильность, постоянное трудоустройство в быстрорастущей компании, занимающейся импортозамещением
- Работа в аккредитованной Минцифры IT-компании, продукты которой находятся в реестре российского ПО
- Комфорт: нет бюрократии, проводим собеседование в 1, max 2 этапа и быстро даем фидбек, гибкое начало рабочего дня и нет дресс-кода
- Плавный ввод в должность, период адаптации, наставничество
- Гибридный формат работы, офис возле м. Электросила
- ДМС со стоматологией
- Внутреннее и внешнее обучение
- Корпоративная жизнь - совместные образовательные, спортивные и развлекательные мероприятия