Обязанности

• Участие в архитектурном ревью проектов, подлежащих анализу;
• Анализ (единичный, первичный, системный) разрабатываемого программного обеспечения с использованием автоматизированных средств:

– исходного кода ПО;
– компонентов и зависимостей ПО;
– инфраструктурных конфигураций;

• Анализ действующих политик обеспечения информационной безопасности для разрабатываемого ПО, ролевых моделей управления доступом, применяемых средств защиты информации;
• Анализ применяемых мер обеспечения безопасности контейнеров;
• Анализ функциональных возможностей существующих ASPM-решений;
• Анализ соответствия процессов разработки программного обеспечения практикам SSDLC;
• Консультирование команд разработки по вопросам:

– актуальности, методов устранения выявленных дефектов, а также потенциальных рисков безопасности;
– принципов, механизмов и мер достижения безопасности процесса разработки программного обеспечения, а также самого программного обеспечения.

Требования

• Опыт коммерческого использования автоматизированных инструментов анализа безопасности программного обеспечения каждой из категорий: SAST, DAST, OSA|SCA, CNAPP, Fuzz, Container Security – решений; понимание принципов каждого из подходов к тестированию;
• Знание (и понимание) методов обеспечения безопасности мобильных и веб-приложений;
• Опыт разработки как минимум на одном языке программирования: Go, Python, C++, С#, Java;
• Понимание исходного кода на всех вышеперечисленных языках программирования