Требуется Application Security инженер

Обязательные стек и требования - Обязательно наличие высшего образования, связанного с ИТ и(или) сферой безопасной разработки ПО/математика, физика. Незаконченное высшее — допустимо, если кандидат из профильной сферы - Основной: C# + JavaScript/TypeScript (достаточно начального/среднего уровня понимания). Кандидат должен уметь читать и понимать код, а не просто кодить. Понимание, на что конкретное срабатывание анализатора может повлиять с точки зрения безопасности - Навыки администрирования ОС Linux; - UML (для моделирования угроз и понимания архитектуры ПО) - Понимание технологии контейнеризации и опыт работы с Docker; - Понимание технологии CI/CD; - Понимание технологии компиляции программных продуктов; опыт работы с GCC, LLVM, MSVC; - Умение выбирать и применять на практике инструменты безопасности, такие как SAST, SCA, а также интерпретировать полученные с помощью них результаты; - Понимание методик AppSec и DevSecOps; - Знание стандартов: ISO/IEC 14882:2014, 14882:2017, 14882:2020; ECMA-334, ECMA-262; - Знание английского языка на уровне чтения технической литературы. - Сильные аналитические способности, усидчивость (срабатываний бывает очень много, требуется многочасовая кропотливая работа), командный игрок (участие во всех мероприятиях команды, отслеживание развития продукта, выявление функций, влияющих на ИБ)

C++ (вторичный приоритет) BPMN 2.0 (используется во внутренних регламентах, несложен для освоения) Опыт работы с компиляторами: Roslyn (C#), GCC (C++)

- Анализ безопасности кода и архитектуры, ведение документации в соответствии с ГОСТ 56939-2016, исследование компонентов ПО на наличие уязвимостей, консультирование разработчиков. Статический анализ кода: разметка срабатываний, отсеивание ложных срабатываний, соотнесение результатов с моделью угроз. - Развитие методов анализа кода – тонкая настройка средств статического анализа кода, документирование методик и результатов проведения анализа; - Подготовка отчётов, внесение улучшений в процесс безопасной разработки. - Моделирование угроз по методикам STRIDE и STACK - Работа с SBOM (Software Bill of Materials), анализ уязвимостей в компонентах - Подготовка конфигов для инструментов в CI/CD (но не построение самих пайплайнов — это задача DevOps)

Если человек сразу в офис приезжает, то один этап. Либо сначала знакомство онлайн, а потом тех интервью в офисе.

Компания разрабатывает программно-технические комплексы (ПТК) для автоматизации и управления технологическими процессами на промышленных объектах энергетики, нефтехимии и других отраслях. Производимые комплексы включают аппаратное и программное обеспечение собственной разработки. В настоящее время инженерным центром производится расширение команды для разработки новых продуктов. Офисный формат.