ВакансииСпециалистыКурсы и обучениеЭкспертыКомпанииРейтингЗарплатыЖурнал

AppSec инженер по статическому анализу безопасности (SAST)

Зарплата

от 1500 до 3000 $

Требования

AppSec-инженерSAST/DAST

Местоположение и тип занятости

Полный рабочий деньМожно удаленно

Компания

Логотип компании «DevTeam.Space»DevTeam.Space
We help businesses build great online products by enabling them to hire and effortlessly manage expert developers
devteam.spaceВсе вакансии (1)

Описание вакансии

Американская компания DevTeam.Space открывает вакансию AppSec инженера по статическому анализу безопасности (SAST) для работы над внeшними и внутренними продуктами компании.В активной разработке находятся несколько внутренних решений для оптимизации работы бизнеса в различных отраслях.

Текущий стек безопасности и анализа: Java 7 / JSF / Servlets 3.0, Fortify Static Code Analyzer, Semgrep, SpotBugs, OWASP Dependency-Check, Bandit (Python), Safety (Python), Gitleaks, custom Python-скрипты для автоматизации SAST-процессов.

Ожидания от кандидата

  • Опыт работы в сфере тестирования или анализа безопасности от 2 лет (желательно опыт в SAST, SCA или код-ревью).
  • Понимание методологий безопасной разработки (Secure SDLC, OWASP Top 10, CWE/SANS Top 25).
  • Опыт работы с инструментами статического анализа:
    • Для Java: Fortify SCA, Semgrep, SpotBugs, OWASP Dependency-Check.
    • Для Python: Bandit, Safety, Semgrep, custom linting/regex сканеры.
  • Навыки настройки и интеграции SAST/SCA инструментов в CI/CD-процессы.
  • Умение анализировать и классифицировать уязвимости, устранять ложные срабатывания, формировать рекомендации по исправлению.
  • Опыт ведения технической документации и подготовки отчетов по результатам анализа.
  • Понимание работы с системами контроля версий (Git) и репозиториями кода.
  • Будет плюсом:
    • Опыт написания Python-скриптов для автоматизации анализа и пост-обработки отчетов.
    • Опыт разработки кастомных правил для Fortify, Semgrep или аналогичных инструментов.
    • Понимание архитектуры Java EE/JSF и типичных уязвимостей в таких приложениях.

Обязанности

  • Настройка и выполнение SAST-проверок исходного кода внутренних продуктов компании.
  • Анализ найденных уязвимостей, определение приоритетов и формирование отчетов.
  • Разработка и настройка кастомных правил и фильтров для снижения числа ложных срабатываний.
  • Проведение SCA (анализ сторонних библиотек и зависимостей) с помощью Dependency-Check, Safety и других инструментов.
  • Разработка автоматизаций на Python для интеграции сканирования в релизный цикл.
  • Взаимодействие с командами разработки для разъяснения уязвимостей и предложений по их устранению.

Условия работы

  • Зарплата в USD.
  • Полностью удаленная работа.
  • Гибкий график.
  • Оплачиваемый отпуск.
  • Оплата обучения и сертификаций за счет компании.
  • Условия обсуждаются индивидуально.
О сервисеУслуги и цены
Помощь
Для соискателяДля работодателяAPI сервисаСлужба поддержки
Другие проекты Хабра
ХабрQ&A