Старший специалист по безопасной разработке

Задачи

• Анализ безопасности и оценка потенциальной уязвимости нового и существующего программного обеспечения с помощью технологий безопасной разработки (SDL). В частности — применение статического и динамического анализа кода (SAST, DAST), композиционного анализа (SCA, OSA), управление уязвимостями.
• Взаимодействие с командами DevOps в части внедрения инструментов анализа кода в процесс непрерывной интеграции.
• Взаимодействие с командами разработки и QA в части тестирования безопасности программного кода и интерпретации результатов тестирования.

Что мы ожидаем от будущего члена команды

• Опыт работы: 3–6 лет.
• Понимание принципов безопасной разработки, а так же задач, возможностей и способов реализации технологий: фаззинга (fuzzing), статического анализа программного кода (static analysis), управления уязвимостями (vulnerability management).
• Понимание особенностей внедрения SAST, DAST, SCA/OSA в уже существующий процесс разработки.
• Опыт самостоятельного применения инструментов динамического и статического анализа — AFL, Libfuzzer, Syzkaller, Crusher, Svace, PVS-Studio и им подобных.
• Практический опыт применения инструментов непрерывной интеграции — Jenkins, GitLab CI/CD и т. д.
• Опыт применения инструментов коллективной разработки программного обеспечения — Jira, Confluence, Bitbucket и им подобных.
• Знание ОС Linux, практические навыки работы в командной строке.
• Опыт автоматизации решения рутинных задач с помощью Unix Shell (Bash), Python, Perl и других скриптовых языков.
• Понимание принципов и практические навыки работы с системами управления версиями — Git, Mercurial и т. д.
• Знание английского языка на уровне чтения и написания технической документации.

Дополнительно приветствуем

• Опыт программирования на C/C++, Rust, Go и других языках.
• Понимание базовых принципов функционирования сетей, систем хранения данных и телекоммуникационного оборудования.