Обеспечение безопасности продукта на этапе его разработки. Настройка инструментов, разработка стратегий, моделирование угроз, работа с командами разработки по устранению проблем безопасности в коде.
Что необходимо делать:
- Поддержка, настройка, сопровождение инструментов, интегрированных в пайплайны. Участие во внедрении инструментов. (SAST, DAST, SCA, CS, безопасность IaCи т.д.)
- Разработка рулсетов для анализаторов, анализ ложно-позитивных и ложно-негативных срабатываний
- Проведение пентеста приложений, обогащение рулсетов
- Помощь командам разработки в устранении уязвимостей.
Что мы ожидаем от кандидата:
- Понимание причин и принципов эксплуатации основных уязвимостей (OWASP Top 10, в том числе 2017 года)
- Уверенное знание как минимум одного языка программирования из списка Java, Go, Python. Опыт разработки
- Автоматизация python/bash
- Понимание принципов работы k8s, docker, опыт с Gitlab pipelines
- Понимание принципов работы и тестирования веб-приложений. Опыт работы с приложениями для модификации трафика (Burp Suite), опыт автоматизации процессов тестирования безопасности.