- Разработка и внедрение архитектурных решений по обеспечению безопасности веб-приложений и API;
- Анализ рисков, проектирование защитных механизмов и контроль соответствия требованиям безопасности в процессе запуска веб-приложений;
- Разработка и поддержка политик безопасного взаимодействия компонентов (CORS, Content Security Policy, TLS/HTTPS и др.);
- Участие в расследовании инцидентов и пост-инцидентном анализе архитектурных уязвимостей;
- Тесное взаимодействие с командами продуктовой и инфраструктурной разработки, операционного администрирования для обеспечения комплексной защищённости веб-приложений;
- Глубокое понимание принципов построения современных веб-приложений (SPA, микросервисы, REST/gRPC API);
- Глубокое понимание OWASP Top 10, OWASP API Security Top 10;
- Знание и опыт работы с системами аутентификации/авторизации OAuth 2.0, OpenID Connect, JWT, SAML / RBAC, ABAC, multi-tenancy схемы;
- Знание принципов защиты API Gateway, CORS, CSP, secure cookies, CSRF и аналогичных механизмов;
- Понимание работы популярных протоколов передачи данных (стек TCP/IP, HTTP/S, S/FTP, DNS, DHCP и др.);
- Базовые знания администрирования операционных систем (Windows, Linux);
- Умение анализировать риски и предлагать эффективные технические решения;
-
Хорошие коммуникативные навыки и способность работать в кросс-функциональных командах;
Будет преимуществом:
- Опыт внедрения и сопровождения WAF;
- Опыт работы с облачными технологиями (AWS, Azure, Google Cloud) и построением безопасной инфраструктуры в облаке;
- Опыт сопровождения процессов CI/CD с акцентом на безопасность разработки и эксплуатации;
- Знание сетевых технологий и принципов работы межсетевых экранов (IPS, IDS);
- Глубокое понимание концепций виртуализации и контейнеризации (Docker, Kubernetes и пр.);
- Знакомство с современными трендами и инструментами в области DevSecOps;
