Security Champion

Обязанности

  • Проведение анализа уязвимостей веб-приложений и API (ручное и автоматизированное тестирование);
  • Работа с инструментами: Burp Suite, OWASP ZAP, Semgrep, mend.io, nuclei и др.;
  • Участие в CI/CD процессах и анализ результатов статического/динамического тестирования;
  • Подготовка рекомендаций по устранению уязвимостей и повышению безопасности;
  • Ведение документации в Jira, составление отчетов;
  • Разработка и доработка WAF-правил;
  • Создание обучающих гайдов, чек-листов и материалов;
  • Проведение семинаров и обучение разработчиков принципам безопасного программирования (Secure SDLC);
  • Внедрение практик Security Champions в команды;

Знания и навыки

  • Знание языков: Python, JavaScript, PHP, Ruby, Go, Kotlin;
  • Знание OWASP Top 10, методологий CVSS, OWASP Risk Rating;
  • Понимание кода на различных языках программирования, Golang - обязательно;
  • Выявление небезопасных языковых конструкций, алгоритмов, разметка результатов статического анализа кода;
  • Написание unit-тестов;
  • Умение писать правила для WAF, анализировать их эффективность;
  • Понимание микросервисной архитектуры, Docker и Kubernetes;
  • Владение инструментами: Burp Suite, OWASP ZAP, Nessus, Acunetix, AppSpider и пр.
  • Опыт разработки ПО на других языках программирования (C/C++/Java/C#/Rust, etc);
  • Опыт работы в области AppSec;
  • Опыт защиты веб-приложений и корпоративной IT-инфраструктуры;

Дополнительно

  • Понимание принципов и формирование корпуса для фаззинга;
  • Понимание, что такое SBOM, умение использовать различные форматы (SPDX, CycloneDX, etc.);
  • Анализ API и WEB UI на безопасность;
  • Умение работать с базами уязвимостей и угроз;
  • Навыки создания обучающих курсов и внутренних тренингов;
  • Участие в проектах по внедрению безопасной архитектуры приложений;
  • Опыт работы с инструментами SCA, SAST, DAST, DIFT;
  • Опыт работы с инструментами анализа безопасности API / UI (OWASP ZAP, PT AppInspector, PT BlackBox, etc.);
  • Опыт работы с инструментами и оборудованием DIFT;
  • Опыт работы с сетевыми сканерами и анализаторами (Wireshark, NMAP, MetaSploit, MaxPatrol, etc.);
  • Опыт работы с инструментами автоматизации безопасности в CI/CD;