Видимо. Сказал внедряйте это. Я пошел дальше документы писать :)

Написал доки, развернул сканер и дальше уже тестировщики анализируют код)

Почему, если рекрутинг не может найти спецов, работодаватели не хотят перейти на модель прогеров? Когда кругом удаленка? Страх, невежество, зависть?

Да это все рельсовые задачи. 100-150, вчерашний студент справится

затруднение манипуляции для менеджеров за счет отсутствия "живой" коммуникации

Сомнительно

Там только в направлении сертификации уже геморроя много)

Да не, зря ты. Не уточняют же как справится. Кое-как воткнуть - много ума не надо

рельсовые они для организации которая это прошла

она скорее всего наймет микс из людей разного толка что бы это деливерить

Ни разу не рельсовые задачи. Еще и процессы организовывать. Еще и SSDLC связать с регуляторикой.

Ха ха 😂😂😂  Правильно вопрос ставить не так , если это приложение на веб которое делает две функции тогда да, а если скажем это промышленная система которую пишет 40 человек тогда позвольте восхищаться уровнем студентов😁 , а говорят кризис образования 😂😂😂, орлы!

Прям чётко могу ответить т.к. много в этом работаю. Нижняя планка 180 на руки. Дальше зависит от проектов и размера команды в подчинении. Что и как тестируется и сертифицируется. Были проекты где сертификацию делали под ФСБ с C\C++, и интерпретаторами и кучей WEB компонент, там ещё и скрипты системные. Приходилось и статические анализаторы самому запускать кучу всего санитайзить в динамике, и веб проверять OWASP-ом и за такое казалось и 300 адекватная цена))) Ну и сам отчёт тоже искусство)))

+++

Так вакансия не про это

+ обычно говорят - "Нуууу нам так проще контролировать и обучать тебя."

В вакансии как раз все правильно, именно организовать процесс того же анализа кода, а дальше передать его в руки тестировщиков, но это все равно не отменяет контроль со стороны ИБ-специалиста, а также не стоит забывать, что вчерашние студенты не могут нормально написать документы ЕСПД, не говоря уже про доки по сертификации, где сделать идеально сложно, но можно, но все равно для написания нормальных документов нужно изучить продукт подробно

Я думаю эти требования возникают из незрелости менеджмента и не готовности менять свои процессы.

В том числе про это, но я спорить не собираюсь)) Там чтобы покрыть все пункты нужно понимать процессы из которых состоит процесс сертификации и последующего взаимодействия. Самому разок пройти это необходимо, а потом задачи раздавать что, как и кому протестить, чтобы в итоговый результать все вписывалось в формате не аля "у нас нет ошибок, потому что так сказал фаззер". Человек не понимающих процессов, которые я написал сертифицировать будет годами систему. Ну и органично вставить все пройденные пункты в отчёт тоже нужно чтоб читабельно было. Тем более у разных регуляторов, свой подход

Я ещё молчу про то, что помимо взаимодействия с регулятором, в случае обнаружения ошибок в сертифицируемых и тестируемых продуктах, в 90% случаев приходится лавировать и при взаимодействии с разработчиками, так как "ошибок нет, это анализ у вас хреновый" и "всё это фигня ваши требования, у нас всё и так работает"))))))))