Обязанности

• Анализ (единичный, первичный, системный) разрабатываемого программного обеспечения с использованием автоматизированных средств:

– исходного кода ПО;
– компонентов и зависимостей ПО;
– инфраструктурных конфигураций;

• Архитектурный анализ безопасности (SAR) программного обеспечения;
• Анализ действующих политик обеспечения информационной безопасности для разрабатываемого ПО, ролевых моделей управления доступом, применяемых средств защиты информации;
• Анализ применяемых мер обеспечения безопасности контейнеров;
• Анализ функциональных возможностей существующих ASPM-решений;
• Анализ соответствия процессов разработки программного обеспечения практикам SSDLC;
• Консультирование команд разработки по вопросам:

– актуальности, методов устранения выявленных дефектов, а также потенциальных рисков безопасности;
– принципов, механизмов и мер достижения безопасности процесса разработки программного обеспечения, а также самого программного обеспечения.

Требования

• Опыт работы на аналогичной должности/в качестве security champion: от 1 года;
• Практический опыт выявления и устранения дефектов программного обеспечения;
• Знание (и понимание) принципов, методов и технологий обеспечения безопасности мобильных и веб-приложений;
• Опыт коммерческого использования автоматизированных инструментов анализа безопасности программного обеспечения каждой из категорий: SAST, DAST, OSA|SCA, Fuzz, Container Security – решений; понимание принципов каждого из подходов к тестированию;
• Знание (и понимание) регулирующих документов и НПА в области обеспечения безопасности процессов разработки и разрабатываемого ПО, в частности (но не ограничиваясь): ГОСТ Р 50922-2006, ГОСТ Р 56939-2024, ГОСТ Р 58412-2019, ГОСТ Р 59795–2021, Приказ ФСТЭК России от 11 февраля 2013 г. N 17, МД ФСТЭК России от 30.06.2025;
• Опыт разработки как минимум на одном языке программирования: Go, Python, C++, С#, Java;
• Понимание исходного кода на всех вышеперечисленных языках программирования.

Будет преимуществом

• Опыт разработки скриптов / автоматизации автоматизированных инструментов анализа / построения Security-пайплайна;
• Опыт работы в анализе защищенности web-приложений (pentest);
• Опыт внедрения методик безопасной разработки программного обеспечения приветствуется;
• Участие в bug bounty, CTF, хакатонах – приветствуется;
• Законченное высшее образование по IT-направлениям. Высшее образование по специальностям в области ИБ (10.03.01, 10.04.01, 10.06.01, 10.05.03 и другие) – будет плюсом.