Обязанности: • Проводить статический анализ (SAST) как ручным код-ревью, так и с помощью автоматизированных инструментов.
• Разбирать результаты работы сканеров, отсеивать ложные срабатывания и ставить разработчикам задачи на исправление уязвимостей.
• Участвовать в проработке и согласовании архитектуры приложений с точки зрения ИБ: проводить Threat Modeling (STRIDE, OWASP), выявлять • Архитектурные недостатки и аргументированно защищать свою экспертизу перед командами разработки.
• Выполнять динамический анализ приложений (DAST) с использованием OWASP ZAP.
• Внедрять и настраивать средства композиционного анализа (SCA/OSA), управлять SBOM.
• Интегрировать все этапы проверок безопасности в CI/CD-пайплайны GitLab, разрабатывать скрипты автоматизации на Python, Go или Bash.
• Разрабатывать и кастомизировать правила для статического анализа (CodeQL, Semgrep/Opengrep).
Требования: • Высшее образование в сфере информационной безопасности.
• Опыт работы инженером AppSec или DevSecOps от 2 лет.
• Практический опыт работы с SAST-инструментами (CodeQL, Semgrep, SonarQube, AppScreener, Checkmarx) и SCA (Dependency-Track, Dependency-Check, CodeScoring, AppSec.Track), понимание концепции SBOM.
• Опыт работы с DAST (OWASP ZAP или аналогами).
• Знание двух и более языков программирования на уровне, достаточном для проведения Code Review и разбора ложных срабатываний (приоритет: Java/Kotlin, Go, Python, JavaScript/TypeScript).
• Опыт работы с решениями класса Secret Management (HashiCorp Vault), опыт внедрения процессов Secret Management.
• Глубокое понимание уязвимостей OWASP Top 10 (2021/2025), причин их появления и методов устранения.
• Понимание принципов безопасности Linux (модели доступа, SELinux, Capabilities, cgroups).
• Опыт написания скриптов для автоматизации и встройки проверок в GitLab CI/CD.
✈Показать контакты
#Гибрид
Будьте осторожны: если работодатель просит войти в их систему, используя iCloud/Google, прислать код/пароль, запустить код/ПО, не делайте этого - это мошенники. Обязательно жмите "Пожаловаться" или пишите в поддержку. Подробнее в гайде →
Текст вакансии взят без изменений
Источник - Telegram канал. Название доступно после авторизации