Имплементировать SSDLC, определять требования по безопасной разработке, контролировать их выполнение;
Внедрять, настраивать и использовать инструменты безопасной разработки (SAST, DAST, SCA/OSA, др.), анализировать отчеты с результатами работы этих инструментов;
Проводить анализ безопасности разрабатываемого программного обеспечения и его архитектуры, выявлять уязвимости;
Осуществлять контроль устранения обнаруженных уязвимостей и консультировать по вопросам безопасности.
Требования:
Знание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
Понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps;
Навыки работы с инструментами SAST, DAST, SCA/OSA, др., в частности, опыт встраивания инструментов безопасности в pipeline GitLab;
Умения писать пайплайны с нуля, пользоваться инклюдами и шаблонами.
Опыт харденинга k8s (например, CIS Benchmarks) и опыт работы с runtime security решениями для k8s;
Опыт харденинга docker containers (применение безопасных настроек для контейнеров и конфигурация безопасных образов);
Умение разбираться в чужом коде (Golang/Python/bash/SQL);
Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.).
