Обязанности

• Комплексный анализ (единичный, первичный, системный) безопасности разрабатываемого программного обеспечения с использованием автоматизированных средств, в частности:

– статического анализа исходного кода ПО;
– композиционного анализа ПО;
– динамического анализа ПО;
– анализа инфраструктурных конфигураций ПО;
–анализа использования чувствительной информации и секретов в ПО;

• Архитектурный анализ безопасности (SAR) программного обеспечения, в частности:

– ролевых моделей управления доступом;
– применяемых средств защиты информации;
– реализованных архитектурных решений;
– диаграмм потоков данных (DFD);

• Анализ применяемых мер обеспечения безопасности контейнеров;
• Разработка и корректировка рекомендуемых мер устранения дефектов и смягчения рисков информационной безопасности;
• Распределение задач и назначение ответственных за анализ выявленных дефектов информационной безопасности и между в рамках назначенного проекта;
• Консультирование команд разработки по вопросам:

– актуальности, методов устранения выявленных дефектов, а также потенциальных рисков безопасности;
– принципов, механизмов и мер достижения безопасности процесса разработки программного обеспечения, а также самого программного обеспечения.

• Проведение обучающих сессий команд разработки и иных внутренних и внешних подразделений в области принципов, механизмов и методик анализа безопасности программного обеспечения.

Требования

• Опыт работы на аналогичной должности: от 2 лет;
• Практический опыт выявления и устранения дефектов программного обеспечения;
• Знание принципов, методов и технологий обеспечения безопасности мобильных и веб-приложений;
• Опыт коммерческого использования автоматизированных инструментов анализа безопасности программного обеспечения каждой из категорий: SAST, DAST, OSA|SCA, Fuzz, Container Security – решений; понимание принципов каждого из подходов к тестированию;
• Знание регулирующих документов и НПА в области обеспечения безопасности процессов разработки и разрабатываемого ПО, в частности (но не ограничиваясь): ГОСТ Р 50922-2006, ГОСТ Р 56939-2024, ГОСТ Р 58412-2019, ГОСТ Р 59795–2021, Приказ ФСТЭК России от 11 февраля 2013 г. N 17, МД ФСТЭК России от 30.06.2025.
• Опыт разработки как минимум на одном языке программирования: Go, Python, C++, С#, Java, Kotlin;
• Понимание исходного кода на всех вышеперечисленных языках программирования;

Будет преимуществом:

• Опыт разработки скриптов / автоматизации автоматизированных инструментов анализа / построения Security-пайплайна;
• Опыт работы в анализе защищенности web-приложений (pentest)

Ключевые навыки
SAST | DAST | SCA | OSA | Fuzz | Container Security |