Инженер по информационной безопасности (DevSecOps)

30 декабря, 2025, 10:43

Консист Бизнес Групп

  • Уровень дохода не указан
  • Опыт работы: 3-6 лет
  • Полная занятость

Обязанности:

  • Развитие и автоматизация процессов защищенной разработки (SSDLC);
  • Анализ и разработка требований к продукту в части ИБ;
  • Настройка инструментальных средств анализа уязвимостей и проверок безопасности (SAST, DAST, Fuzzing, SCA), повышение эффективности их работы;
  • Проверка исходного кода программ с применением специализированных инструментов для выявления ошибок и уязвимостей (AppScreener);
  • Проведение динамического анализа и фаззинг-тестирования web-приложений (OWASP ZAP);
  • Применение инструментов контроля Open Source компонентов (OSA/SCA);
  • Разбор результатов работы средств статического анализа и средств динамического анализа (проверка, приоритизация, корреляция выявляемых дефектов, поиск решений для их устранения);
  • Оформление отчетов по проведенным анализам;
  • Моделирование угроз безопасности продукта и определение поверхности атаки;
  • Разработка плана и механизмов устранения выявленных уязвимостей;
  • Консультирование команды разработки по вопросам безопасности и практикам написания безопасного кода, помощь разработчикам в устранении выявленных уязвимостей и ошибок в коде;
  • Взаимодействие с командой DevOps-инженеров по вопросам автоматизации сценариев применения инструментов SAST и DAST, интеграции средств анализа в процессы CI/CD;
  • Участие в сертификации решения в своей зоне ответственности;
  • Участие в разработке процессов информационный безопасности, направленных на снижение рисков ИБ, в качестве технического эксперта;
  • Внедрение и поддержка инструментов защиты внутренней инфраструктуры.

Требования:

Продолжение ниже

Боссы российского кибербеза

  • Понимание и опыт внедрения современных процессов и практик безопасной разработки: SDLC/SSDLC, DevSecOps;
  • Опыт проведения ручного и автоматизированного анализа безопасности кода приложений с использованием решений SAST/DAST, включая разбор результатов анализа, фильтрацию ложных срабатываний и выдачу рекомендаций по устранению найденных уязвимостей;
  • Умение анализировать CVE/CWE/CVSS;
  • Понимание основных угроз (OWASP Top-10) и недостатков ПО (CWE Top-25), знание методов противодействиям им;
  • Умение читать и выявлять ошибки в коде;
  • Опыт работы со сканерами уязвимостей;
  • Опыт работы с Git, GitLab (или аналогами);
  • Понимание ОС *NIX, сетевых технологий и протоколов (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов).

https://hh.ru/vacancy/127842599

Словарь: Фаззинг-тестирование (Fuzzing), DNS-туннели, SDLC, SAST, DAST, DevSecOps, Статическое тестирование безопасности приложений (Static Application Security Testing, SAST)