Специалист по статическому анализу кода

BASIS — разработчик программных продуктов для оказания облачных услуг и платформы динамической инфраструктуры. Компания BASIS занимается поставкой и интеграцией решений виртуализации крупнейшим государственным и коммерческим заказчикам. Мы занимаем активную позицию в вопросе замещения импортных решений нашими. Чем нужно заниматься: - Проведением статического анализа кода (SAST) для выявления уязвимостей и потенциальных ошибок в Java-приложениях; - Настройкой и использованием инструментов статического анализа (SonarQube, Checkmarx, Fortify, SpotBugs, PMD, Svacer); - Разработкой и проведением фаззинг-тестов (Fuzzing) для поиска уязвимостей (на основе Jazzer, AFL++, libFuzzer); - Анализом и устранением критических уязвимостей (OWASP Top 10, CWE, CVE). - Проверкой кода на соответствие стандартам безопасности (CERT Secure Coding, MISRA); - Участием в code review с акцентом на безопасность; - Взаимодействием с разработчиками для исправления уязвимостей; - Написанием отчетов и рекомендаций по улучшению безопасности кода; - Интеграцией инструментов анализа в CI/CD (GitLab CI, Jenkins, GitHub Actions); - Анализом крашей, написанием репортов и работой с upstream-разработчиками. Что для нас важно: - Высшее техническое в области информационной безопасности или прикладного - Опыт работы с статическим анализом кода (SAST) и инструментами (SonarQube, Checkmarx, Fortify); - Знание фаззинга и опыт работы с фаззерами (Jazzer, AFL++, libFuzzer). - Глубокое понимание уязвимостей в Java (SQLi, XSS, Deserialization, RCE, Memory Leaks); - Опыт работы с байткодом Java и анализом JVM-приложений; - Знание криптографии (алгоритмы, уязвимости, best practices); - Умение анализировать логи, дампы памяти и трассировки (jstack, jmap, Wireshark); - Опыт работы с отладчиками и профилировщиками (JDB, VisualVM, Eclipse MAT); - Знание CI/CD и систем контроля версий (Git); - Английский язык (чтение технической документации, отчетов CVE). Желательно: - Опыт работы с динамическим анализом (DAST) (Burp Suite, OWASP ZAP); - Опыт работы с контейнеризацией (Docker, Kubernetes); - Участие в CTF, Bug Bounty или исследованиях в области кибербезопасности; - Навыки обратной разработки (Reverse Engineering) Java-приложений (JD-GUI, JADX).