Специалист по статическому анализу и экспертизе кода

Компания АО НПО «Эшелон» (является аккредитованной IT-компанией) специализируется на оказании услуг по сертификации, как обязательной, так и в рамках добровольной системы сертификации (СДС).

Основные направления Центра оценки соответствия и тестирования:

• Проведение внешнего и внутреннего тестирования на проникновение и анализ защищённости информационных систем и инфраструктуры организаций.
• Сертификация по требованиям ФСТЭК России.
• Оценка соответствия по требованиям ОУД в рамках проверки банковских приложений (требования ГОСТ ИСО/МЭК 15408, Профиля защиты ЦБ, положения Банка России).
• Проведение тематических исследований по требованиям ФСБ России.
• Проведение оценки по требованиям стандарта платформы Цифрового Рубля.
• Принятие участия в разработке стандартов в области защиты информации (в рамках в рабочей группы ТК-362).
• Внедрение процессов безопасной разработки по требованиям
  ГОСТ Р 56939-2016, ГОСТ Р 56939-2024.

Обязанности:

• Проведение статического кода на различных языках программирования (C/C++, Java, Python, Go, C#, JavaScript и др.) с использованием специализированных инструментов и техник.
• Проведение экспертизы кода на различных языках программирования (C/C++, Java, Python, Go, C#, JavaScript и др.).
• Проведение дизассемблирования и декомпиляции бинарных файлов для последующего анализа восстановленного кода.
• Проведение подконтрольной сборки программного обеспечения, верификация конфигурации сборки, зависимостей и результатов сборки.
• Ручная разметка результатов срабатываний инструментов статического анализа и выявление дефектов, связанных с безопасностью (ГОСТ Р 71207–2024, CWE Top 25, SANS Top 25).
• Анализ ошибок первого и второго рода, настройка правил и контекста для повышения точности анализа.
• Консультирование Заказчика по вопросам безопасного программирования и устранения выявленных дефектов.
• Интеграция инструментов статического анализа в конвейер разработки (CI/CD) Заказчика.
• Сравнение и оценка различных инструментов статического анализа.
• Подготовка отчетов о результатах анализа кода, включая классификацию дефектов и рекомендации по исправлению.

Наши ожидания:

• Понимание этапов компиляции и оптимизации программ, понимание различий между компилируемыми и интерпретируемыми языками программирования.
• Умение работать с компилируемыми языками, интерпретируемыми языками программирования, языками программирования, компилируемыми в промежуточное представление, средами выполнения кода.
• Уверенное знание как минимум одного компилируемого и одного интерпретируемого языка (например, Go и C# или C++ и Python) и понимание их экосистем, включая библиотеки, фреймворки и инструменты разработки.
• Понимание принципов разработки ПО, архитектурных паттернов и методологий (ООП, SOLID), а также DevSecOps-практик.
• Понимание этапов жизненного цикла программного обеспечения, отличие SDLC от SSDLC.
• Работа с инструментами статического анализа кода (SonarQube, PVS-Studio, Svace, АК-ВС 3, PT Application Inspector, Solar appScreener и др.).
• Понимание принципов безопасного кодирования для различных языков и технологий.
• Знание основных классов дефектов (CWE), уязвимостей и методов их эксплуатации.
• Понимание принципов разработки безопасного программного обеспечения.
• Умение четко и структурированно документировать техническую отчетную документацию и рекомендации.
• Развитые аналитические навыки, способность к самостоятельному обучению и исследованию новых технологий и инструментов.
• Умение работать в команде и эффективно взаимодействовать с другими специалистами.

Будет плюсом:

• Знание английского языка на уровне понимания зарубежных стандартов.
• Опыт работы с системами контроля версий (Git, SVN).
• Знание стандартов в области информационной безопасности и защиты информации.
• Умение писать скрипты на Python, Bash или других языках для автоматизации задач.
• Желание в развитии методологии и стандартов статического анализа кода.

Мы предлагаем:

• Интересную работу в дружелюбном молодом коллективе с адекватным менеджментом.
• Участие в интересных проектах и задачах, связанных с информационной безопасностью.
• Прозрачную и понятную финансовую мотивацию (оклад + премиальная часть от выполненного проекта), а также возможность карьерного роста.
• Возможность участия в проведении обучающих мероприятий и консультаций для заказчиков (с дополнительной оплатой).
• Индивидуальный график работы (8:00-17:00; 9:00-18:00; 10:00-19:00).
• Официальное трудоустройство в соответствии с ТК РФ (оплачиваемый отпуск, больничный).
• Оплату мобильной связи.
• Частичную компенсацию ДМС и абонемента в фитнес-клуб.
• Корпоративная пенсионная программа (дополнительные перечисления взносов работодателем в НПФ).
• Возможность внутреннего обучения, повышения квалификации в учебном центре компании.
• Возможность профессионального роста и самореализации, введение в рабочий процесс новых подходов и методик.