Обязанности:
- Имплементировать SSDLC, определять требования по безопасной разработке, контролировать их выполнение;
- Внедрять, настраивать и использовать инструменты безопасной разработки (SAST, DAST, SCA/OSA, др.), анализировать отчеты с результатами работы этих инструментов;
- Проводить анализ безопасности разрабатываемого программного обеспечения и его архитектуры, выявлять уязвимости;
- Осуществлять контроль устранения обнаруженных уязвимостей и консультировать по вопросам безопасности.
Требования:
- Знание OWASP Top 10, ASVS, Testing Guide, Code Review Guide и др. применимых методологий, стандартов и практик в области безопасной разработки;
- Понимание современных процессов и практик разработки ПО: Agile, CI/CD, SDLC, DevOps;
- Навыки работы с инструментами SAST, DAST, SCA/OSA, др., в частности, опыт встраивания инструментов безопасности в pipeline GitLab;
- Умения писать пайплайны с нуля, пользоваться инклюдами и шаблонами.
- Опыт харденинга k8s (например, CIS Benchmarks) и опыт работы с runtime security решениями для k8s;
- Опыт харденинга docker containers (применение безопасных настроек для контейнеров и конфигурация безопасных образов);
- Умение разбираться в чужом коде (Golang/Python/bash/SQL);
- Понимание принципов работы современных веб-приложений (XML-RPC, REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2, и др.).