• Внедрение практик безопасной разработки ПО.
• Проведение комплексного анализа безопасности ПО.
• Настройка и анализ результатов сканеров (SAST, SCA, MAST, DAST).
• Поддержка команд разработки в вопросах безопасности.
• Разработка документации и инструкций для процессов безопасности.
• Участие в создании и сопровождении SSDLC.
• Настройка и интеграция инструментов DevSecOps.
• Проведение аудитов безопасности приложений и сервисов.
• Взаимодействие с продуктовыми командами для устранения уязвимостей.
• Автоматизация процессов безопасности.
• Навыки анализа кода на Java, JavaScript (или аналогичных языках).
• Опыт работы с инструментами безопасности разработки (SAST, SCA, DAST, MAST, Container Security).
• Умение выявлять архитектурные риски и недочеты в инфраструктуре.
• Навыки анализа исходного кода на наличие уязвимостей.
• Знания и опыт построения Quality/Security Gates в CI/CD пайплайнах.
• Понимание концепции Shift-Left, а также опыт внедрения концепции в рамках разработки и эксплуатации.
Будем плюсом:
• Знание языков программирования (Java, JavaScript, Python). Разработка приложения самостоятельно или в рамках команды разработки.
• Наличие сертификатов или пройденных курсов по Application Security/DevSecOps.
• Опыт по обучению команд разработки безопасным методам разработки и использованию инструментов анализа.
• Опыт работы с инструментами класса ASOC, IAST, WAF, Secrets Scan, Binary Repository.
• Опыт анализа уязвимостей с использованием OWASP Top 10, OWASP Mobile Top 10 или CWE Top 25.
• Знание безопасных архитектурных принципов и проектирования.
• Опыт работы с микросервисной архитектурой и современными облачными технологиями.
• Опыт в анализе уязвимостей и защищенности мобильных приложений.
• Опыт работы с микросервисной архитектурой.