AppSec инженер по статическому анализу безопасности (SAST)

• Опыт работы в сфере тестирования или анализа безопасности от 2 лет (желательно опыт в SAST, SCA или код-ревью).
• Понимание методологий безопасной разработки (Secure SDLC, OWASP Top 10, CWE/SANS Top 25).
• Опыт работы с инструментами статического анализа:

• Для Java: Fortify SCA, Semgrep, SpotBugs, OWASP Dependency-Check.
• Для Python: Bandit, Safety, Semgrep, custom linting/regex сканеры.
• Навыки настройки и интеграции SAST/SCA инструментов в CI/CD-процессы.
• Умение анализировать и классифицировать уязвимости, устранять ложные срабатывания, формировать рекомендации по исправлению.
• Опыт ведения технической документации и подготовки отчетов по результатам анализа.
• Понимание работы с системами контроля версий (Git) и репозиториями кода.
• Будет плюсом:

• Опыт написания Python-скриптов для автоматизации анализа и пост-обработки отчетов.
• Опыт разработки кастомных правил для Fortify, Semgrep или аналогичных инструментов.
• Понимание архитектуры Java EE/JSF и типичных уязвимостей в таких приложениях.

• Настройка и выполнение SAST-проверок исходного кода внутренних продуктов компании.
• Анализ найденных уязвимостей, определение приоритетов и формирование отчетов.
• Разработка и настройка кастомных правил и фильтров для снижения числа ложных срабатываний.
• Проведение SCA (анализ сторонних библиотек и зависимостей) с помощью Dependency-Check, Safety и других инструментов.
• Разработка автоматизаций на Python для интеграции сканирования в релизный цикл.
• Взаимодействие с командами разработки для разъяснения уязвимостей и предложений по их устранению.

• Зарплата в USD.
• Полностью удаленная работа.
• Гибкий график.
• Оплачиваемый отпуск.
• Оплата обучения и сертификаций за счет компании.
• Условия обсуждаются индивидуально.

Хабр Карьера