Аналитик по направлению «Жизненный цикл разработки защищенного ПО» (Secure SDLC).

 Компания - Участник Сколково, специализирующаяся на
анализе защищенности информационных систем и тонкой настройке средств защиты, а
также предлагающая полный комплекс услуг по построению процессов безопасной
разработки приложений 

Обязанности:

· Внедрение технических средств поддержки
процессов разработки защищенного ПО: статических и динамических анализаторов и
т.п (написание собственных правил анализа кода, оценка эффективности и тюнинг
системных правил). 

· Настройка анализаторов под специфику конкретных
приложений (анализ используемых фреймворков и стандартных библиотек,
архитектуры приложения). 

· Исследование веб-технологий, языков
программирования, фреймворков и библиотек на предмет определения рекомендаций
по их использованию в разработке (какое API не рекомендуется использовать, а
какое – можно и нужно, с какими флагами, методами и т.д.). 

· Участие в offensive-проектах (анализ
защищенности/тестирование на проникновение) – по желанию. 

· Выступления на конференциях – по желанию. 

Требования:

· Знание предметной области Application Security:
умение находить недостатки по коду приложения. Навыки чтения чужого кода. 

· Знание, помимо OWASP
Top 10: OWASP Testing Guide, OWASP Code Review Guide, OWASP Secure Coding
Practices. 

· Понимание современных процессов разработки
программного обеспечения: Agile, CI/CD. 

· Навыки автоматизации рутинных задач с помощью
скриптовых языков, например, Python. 

Приветствуются: 

· Опыт работы аудитором кода или разработчиком для
широкого спектра языков программирования и фреймворков: JavaScript, языки
платформы .Net, Java, PHP, Python, желательно общее знакомство с парадигмами
программирования.  

· Опыт участия в CTF-соревнованиях, опыт
самостоятельных исследований по ИБ или опыт участия в bugbounty.