Инженер по безопасности приложений

2-4 года опыта в области безопасности приложений, безопасности продуктов или роли разработчика с акцентом на безопасность. Глубокие знания OWASP Top 10 (Web), OWASP API Security Top 10 и практики безопасной разработки. Практический опыт работы с инструментами SAST, DAST и SCA, такими как Checkmarx, SonarQube, Veracode, Semgrep или Snyk; способность приоритизировать и оценивать находки автоматизированных средств безопасности. Опыт интеграции средств безопасности в CI/CD пайплайны (GitHub Actions, GitLab CI или Jenkins) и знакомство с принципами безопасности shift-left. Рабочие знания облачных сред (AWS, Azure или GCP), включая IAM, управление секретами и контроль сетевой безопасности. Умение писать или рецензировать код с точки зрения безопасности на таких языках, как Java, Python или JavaScript. Опыт проведения безопасных код-ревью и участия в сессиях по обзору дизайна. Базовое понимание концепций безопасности контейнеров и Kubernetes. Знакомство с оценкой уязвимости (CVSS) и процессами управления уязвимостями. Понимание фреймворка MITRE ATT&CK и Cyber Kill Chain. Предпочтительные сертификаты: OSWE, CWEE, CDP, CDE или эквиваленты.