Инженер по безопасной разработке / DevSecOps

• Опыт внедрения и поддержки процессов SAST (статический анализ кода)

Инструменты: Semgrep, CodeQL, SonarQube (с кастомизацией правил), или иные.

• Опыт внедрения и поддержки процессов сканирования образов контейнеров

Инструменты: Trivy, Grype, Сlair, Snyk Container или иные.

• Опыт внедрения и поддержки процессов SCA (Software Composition Analysis /анализ состава программного обеспечения/зависимостей) в CI/CD

Инструменты: Snyk, Trivy или иные.

• Опыт работы с веб‑приложениями

Умение анализировать параметры запросов (GET/POST, заголовки, тело JSON/XML);

Понимание, как проверять корректность экранирования (экранирование вывода, параметризованные запросы);

Навык использования прокси (Burp Suite, OWASP ZAP) для сканирования эндпойнтов.

• Знание CI/CD (GitLab CI, GitHub Actions или Jenkins)
• Опыт администрирования Linux

Потребуется самостоятельно администрировать пайплайны в своей зоне ответственности (настройка раннеров, установка и обновление сканеров), на базе ОС GNU/Linux.

Будет преимуществом:

• Опыт DAST (динамический анализ ПО)
• Любая международная сертификация в информационной безопасности