• Внедрение/пилотирование/имплементация/определение целевого стека и настройка инструментов в рамках цикла безопасной разработки ПО (SSDLC), supply chain security, контейнеризации и средств оркестрации контейнеров (Docker, Kubernetes); • Участие в построении процесса безопасной разработки с применением утвержденного инструментария (интеграция инструментария DevSecOps в процессы DevOps, взаимодействие/помощь сотрудникам Заказчика при внедрении); • Участие в анализе защищенности ПО (тестирование продукта с помощью автоматизированных средств (SAST/DAST/SCA и т.д.); • Развитие и автоматизация процессов безопасной разработки (анализ рисков в приложениях, реализация pipelines, разработка правил для инструментов SAST/DAST и т.д.); • Security Awareness: обучение разработчиков практикам безопасной разработки; Внешняя активность - https://edu.ptsecurity.com/appsec_pro • Анализ результатов работы средств контроля (SAST/DAST/SCA и т.д.): триаж, верификация багов, ручной code review, предложения по устранению уязвимостей или мерам митигации совместно с командами разработки; • Разработка технических требований по применению практик безопасной разработки, quality gates, pipeline шаблонов;

1) Участие в Security анализе выпускаемого продукта, внутренних сервисов компании. Методом white\black-box тестирования. 2) Участие в разработке, внедрение и контроле требований безопасности к выпускаемому продукту, SSDLC. 3) Ручной анализ golang, javascript(react, next), python кода на наличие уязвимостей. 4) Проведения анализа защищённости Web проектов согласно стандартам OWASP Application Security Verification Standard . 5) Верификация отчётов по безопасности в Defect Dojo. 6) Разработка проектов в security отделе на python. Написание документации к разрабатываемому проекту. 7) Встраивание Security Tool в пайплайн(GitLab) проектов. 8) Анализ прямых зависимостей проекта. Поддержка Software Composition Analysis. 9) Анализ атак и событий, регистрируемых в Web Application Firewall. Создание и поддержка правил/триггеров в WAF. Корректировка и поддержка anti-bot системы.

1) Поддержка и обслуживание Web Application Firewall. 2) Анализ атак и событий, регистрируемых WAF. 3) Создание правил для WAF. 4) Сканирование исходного кода Web-порталов на наличие уязвимостей.

1) Проведение анализа защищённости веб приложений. 2) Проведение OSINT работ.

Исследовательская деятельность

ИТЭК, Информационная безопасность автоматизированных систем 10.02.03

БПОУ "Омавиат", Объединение сетей