Инженер по безопасности приложений

2-4 года опыта в области безопасности приложений, безопасности продуктов или в роли разработки с сильным фокусом на безопасность. Глубокие знания OWASP Top 10 (Web), OWASP API Security Top 10 и безопасных практик разработки. Практический опыт работы с инструментами SAST, DAST и SCA, такими как Checkmarx, SonarQube, Veracode, Semgrep или Snyk; способность анализировать и расставлять приоритеты выводам автоматизированных средств безопасности. Опыт интеграции инструментов безопасности в CI/CD пайплайны (GitHub Actions, GitLab CI или Jenkins) и знакомство с принципами shift-left безопасности. Рабочие знания облачных сред (AWS, Azure или GCP), включая IAM, управление секретами и сетевую безопасность. Умение программировать на Python, Bash или PowerShell для автоматизации проверок безопасности и рабочих процессов. Способность писать или анализировать код с точки зрения безопасности на таких распространенных языках, как Java, Python или JavaScript. Опыт проведения безопасных обзоров кода и участия в сессиях по обзору дизайна. Базовое понимание концепций безопасности контейнеров и Kubernetes. Знание о системе оценки уязвимостей (CVSS) и процессах управления уязвимостями. Понимание фрейма MITRE ATT&CK и цепочки кибер-убийств. Предпочтительные сертификаты: OSWE, CWEE, CDP, CDE или эквивалент.