Что нужно делать:
- Анализировать результаты сканирований инструментов SAST TypeScript/Java/JavaScript/Python;
- Разбирать и классифицировать уязвимости в зависимостях продукта;
- Разрабатывать и актуализировать требования к продукту в части ИБ;
- Участвовать в развитии процессов безопасной разработки продукта;
- Разработка рекомендаций для разработчиков по устранению выявленных недостатков в коде.
Мы ждём, что вы:
- Имеете опыт работы в качестве Application Security Engineer/DevSecOps, или Penetration testing более 2 лет;
- Обладаете знаниями в области дефектов (CWE/SANS Top 25 Most Dangerous Software Errors), уязвимостей и рисков безопасности в web и Linux приложениях (OWASP Top 10), а также способов их обнаружения и исправления;
- Обладаете знаниями концепций: аутентификация, авторизация, шифрование с закрытыми и открытыми ключами, цифровая подпись, неотрекаемость;
- Обладаете знаниями связанными с безопасностью стандартов и фреймворков (например, WS-Security, X.509, SAML, JAAS, LDAP/ FreeIPA, Kerberos, SSL, OpenSSO);
- Обладаете пониманием моделей безопасности Linux и Docker;
- Обладаете знаниями в области баз данных и SQL.
Будет плюсом:
- Опыт разработки программного обеспечения в стеке Java: язык Java и его лучшие практики, базовые фреймворки (Spring, Hibernate, Log4j, библиотеки Apache и т. д.), процесс сборки и развертывания.