Инженер по безопасности приложений

2-4 года опыта в области безопасности приложений, безопасности продуктов или в роли разработчика с акцентом на безопасность. Глубокие знания OWASP Top 10 (Web), OWASP API Security Top 10 и безопасных практик разработки. Практический опыт работы с SAST, DAST и SCA инструментами, такими как Checkmarx, SonarQube, Veracode, Semgrep или Snyk; способность приоритизировать и классифицировать находки из автоматизированных средств безопасности. Опыт интеграции средств безопасности в CI/CD пайплайны (GitHub Actions, GitLab CI или Jenkins) и знакомство с принципами shift-left security. Знание облачных сред (AWS, Azure или GCP), включая IAM, управление секретами и контроль сетевой безопасности. Умение программировать на Python, Bash или PowerShell для автоматизации проверок безопасности и рабочих процессов. Способность писать или проверять код с точки зрения безопасности на общих языках, таких как Java, Python или JavaScript. Опыт проведения проверок безопасности кода и участия в сессиях обзора дизайна. Базовое понимание концепций безопасности контейнеров и Kubernetes. Ознакомление с оценкой уязвимостей (CVSS) и процессами управления уязвимостями. Понимание фреймворка MITRE ATT&CK и Cyber Kill Chain. Желательны сертификаты: OSWE, CWEE, CDP, CDE или эквиваленты.