{"id":480947,"date":"2026-05-25T14:02:36","date_gmt":"2026-05-25T14:02:36","guid":{"rendered":"https:\/\/savepearlharbor.com\/?p=480947"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=480947","title":{"rendered":"\u041e\u0442 \u0441\u043f\u0438\u0441\u043a\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043a technical output: \u043a\u0430\u043a security engineer\u2019\u0443 \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c hands-on \u043e\u043f\u044b\u0442 \u0432 CV \u0438 \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e"},"content":{"rendered":"<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u041c\u043d\u043e\u0433\u0438\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u044b \u0432 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u043c\u0435\u044e\u0442 \u0434\u0435\u043b\u0430\u0442\u044c \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u0443\u044e hands-on \u0440\u0430\u0431\u043e\u0442\u0443: \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c findings, \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c SAST\/SCA\/DAST, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c API, \u043a\u043e\u0432\u044b\u0440\u044f\u0442\u044c CI\/CD, \u043f\u0438\u0441\u0430\u0442\u044c \u0441\u043a\u0440\u0438\u043f\u0442\u044b, \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0442\u044c cloud misconfigurations, \u043f\u043e\u043c\u043e\u0433\u0430\u0442\u044c \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0438\u0442.\u0434. \u041d\u043e \u043f\u0440\u0438 \u043f\u043e\u0438\u0441\u043a\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u0442\u0430\u043a\u043e\u0439 \u043e\u043f\u044b\u0442 (\u0430, \u0442\u043e\u0447\u043d\u0435\u0435 \u0435\u0433\u043e \u043f\u043e\u0434\u0430\u0447\u0430, \u0443\u043f\u0430\u043a\u043e\u0432\u043a\u0430) \u0447\u0430\u0441\u0442\u043e \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0441\u043b\u0430\u0431\u043e.<\/p>\n<p>\u0412 \u0440\u0435\u0437\u044e\u043c\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0447\u0442\u043e-\u0442\u043e \u0432\u0440\u043e\u0434\u0435 \u044d\u0442\u043e\u0433\u043e \u043c\u0438\u043a\u0441\u0430:<\/p>\n<blockquote>\n<p>\u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp Suite, SAST, SCA, SIEM, Kubernetes, AWS.<br \/>\u0417\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439.<br \/>\u0423\u0447\u0430\u0441\u0442\u0432\u043e\u0432\u0430\u043b \u0432 DevSecOps-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u0445.<br \/>\u041f\u043e\u043c\u043e\u0433\u0430\u043b \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0431\u0430\u0433\u0438.<\/p>\n<\/blockquote>\n<p>\u0424\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e \u0432\u0441\u0435 \u043f\u0440\u0430\u0432\u0434\u0430, \u0434\u0430, \u043d\u0435 \u043f\u043e\u0434\u043a\u043e\u043f\u0430\u0442\u044c\u0441\u044f. \u041d\u043e hiring manager \u0438\u043b\u0438 technical interviewer \u0432\u0438\u0434\u0438\u0442 \u043d\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442, \u0430 \u043d\u0430\u0431\u043e\u0440 \u043e\u0431\u0449\u0438\u0445 \u0441\u043b\u043e\u0432 (\u0438 \u0437\u0430\u0447\u0430\u0441\u0442\u0443\u044e \u0435\u043c\u0443 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0445). \u041e\u0442\u0441\u044e\u0434\u0430 \u0442\u0435\u0431\u044f \u043c\u0435\u043d\u044c\u0448\u0435 \u0437\u0430\u043c\u0435\u0447\u0430\u044e\u0442 \u043d\u0430 job board, \u043c\u0435\u043d\u044c\u0448\u0435 \u043a\u043e\u043d\u0432\u0435\u0440\u0441\u0438\u044f \u0430\u043f\u043b\u0438\u043a\u0435\u0439\u0448\u0438\u043d\u043e\u0432 \u043f\u043e\u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u043f\u043e\u0437\u0438\u0446\u0438\u0438, \u0438 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0441\u043e\u0431\u0435\u0441\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439, \u043d\u0443, \u0438 \u043f\u043e \u0438\u0442\u043e\u0433\u0443 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u0440\u043e\u0438\u0433\u0440\u044b\u0448 \u0432 \u0446\u0435\u043d\u0435 \u043e\u0444\u0444\u0435\u0440\u0430.<\/p>\n<p>\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u043d\u0435 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043d\u0435 \u0432\u0430\u0436\u043d\u044b. \u0412\u0430\u0436\u043d\u044b, \u043e\u0447\u0435\u043d\u044c \u0434\u0430\u0436\u0435 (\u0442\u0432\u043e\u0439 \u0442\u0438\u043c\u043b\u0438\u0434 \u043e\u0446\u0435\u043d\u0438\u0442). \u041d\u043e \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0441\u0430\u043c \u043f\u043e \u0441\u0435\u0431\u0435 \u043d\u0435 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u043a\u0430\u043a\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0440\u0435\u0448\u0430\u043b, \u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435, \u043d\u0430\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0438 \u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u0441\u043b\u0435 \u0435\u0433\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439.<\/p>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c, \u043a\u0430\u043a hands-on \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u0443 \u0432 AppSec, DevSecOps, pentest, vulnerability management, cloud security \u0438\u043b\u0438 SOC \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u043e\u043f\u044b\u0442 \u0442\u0430\u043a, \u0447\u0442\u043e\u0431\u044b \u0431\u044b\u043b\u043e \u0432\u0438\u0434\u043d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u201c\u044f \u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0441 \u0442\u0443\u043b\u0437\u0430\u043c\u0438\u201d, \u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0439 technical output.<\/p>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/88c\/4af\/38a\/88c4af38a6f6458ebd7ab58c50fc10b6.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/88c\/4af\/38a\/88c4af38a6f6458ebd7ab58c50fc10b6.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/88c\/4af\/38a\/88c4af38a6f6458ebd7ab58c50fc10b6.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h3>\u041a\u043e\u0440\u043e\u0442\u043a\u043e: \u043e \u0447\u0451\u043c \u0441\u0442\u0430\u0442\u044c\u044f<\/h3>\n<p>\u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c:<\/p>\n<ul>\n<li>\n<p>\u043f\u043e\u0447\u0435\u043c\u0443 \u201c\u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp \/ SAST \/ Kubernetes\u201d \u0437\u0432\u0443\u0447\u0438\u0442 \u0441\u043b\u0430\u0431\u0435\u0435, \u0447\u0435\u043c \u043a\u0430\u0436\u0435\u0442\u0441\u044f;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u0438\u0435 5 \u0441\u043b\u043e\u0435\u0432 \u043e\u043f\u044b\u0442\u0430 \u0441\u0442\u043e\u0438\u0442 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0432 CV \u0438 \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442\u044c \u043e\u0431\u044b\u0447\u043d\u044b\u0435 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0432 \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0439 (\u0431\u0438\u0437\u043d\u0435\u0441) \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c \u0441\u043b\u0430\u0431\u044b\u0435 CV bullets;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u0438\u0435 \u043c\u0435\u0442\u0440\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0431\u0435\u0437 \u0432\u044b\u0434\u0443\u043c\u0430\u043d\u043d\u043e\u0433\u043e impact;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u0433\u043e\u0442\u043e\u0432\u0438\u0442\u044c \u043b\u0438\u0447\u043d\u044b\u0435 STAR stories \u0434\u043b\u044f technical interview;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u0441\u0432\u043e\u0451\u043c \u043e\u043f\u044b\u0442\u0435 \u0431\u0435\u0437 \u0432\u043e\u0434\u044b, \u043f\u0430\u0444\u043e\u0441\u0430 \u0438 \u0441\u0430\u043c\u043e\u043e\u0431\u043c\u0430\u043d\u0430.<\/p>\n<\/li>\n<\/ul>\n<hr\/>\n<h3>\u041f\u043e\u0447\u0435\u043c\u0443 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043d\u0435 \u043f\u0440\u043e\u0434\u0430\u0451\u0442 \u043e\u043f\u044b\u0442<\/h3>\n<p>\u041e\u0434\u043d\u0430 \u0438\u0437 \u0447\u0430\u0441\u0442\u044b\u0445 \u043e\u0448\u0438\u0431\u043e\u043a \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u043e\u0432 \u2014 \u0441\u0447\u0438\u0442\u0430\u0442\u044c, \u0447\u0442\u043e \u0441\u0430\u043c \u0444\u0430\u043a\u0442 \u0432\u043b\u0430\u0434\u0435\u043d\u0438\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c \u0443\u0436\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u043e\u043f\u044b\u0442\u0430.<\/p>\n<p>\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440:<\/p>\n<blockquote>\n<p>Burp Suite, Nmap, Nessus, GitLab CI, Docker, Kubernetes, AWS, Python.<\/p>\n<\/blockquote>\n<p>\u0414\u043b\u044f \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0430 \u044d\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e: \u0441\u0442\u0435\u043a \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d, \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u0441\u043b\u043e\u0432\u0430 \u0435\u0441\u0442\u044c. \u041d\u043e \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0440\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044f \u0442\u0430\u043a\u043e\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043e\u0434\u0438\u043d \u0432\u043e\u043f\u0440\u043e\u0441: <strong>\u0441 \u0447\u0435\u043c \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0441\u0442\u0430\u043b\u043a\u0438\u0432\u0430\u043b\u0441\u044f<\/strong>.<\/p>\n<p><u>\u041e\u043d \u043d\u0435 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0431\u043e\u043b\u0435\u0435 \u0432\u0430\u0436\u043d\u044b\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b:<\/u><\/p>\n<ul>\n<li>\n<p>\u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0434\u0435\u043b\u0430\u043b;<\/p>\n<\/li>\n<li>\n<p>\u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u0438\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0440\u0435\u0448\u0430\u043b;<\/p>\n<\/li>\n<li>\n<p>\u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u0441\u043b\u0435 \u0435\u0433\u043e \u0440\u0430\u0431\u043e\u0442\u044b;<\/p>\n<\/li>\n<li>\n<p>\u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0435\u043c\u0443 \u0434\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0443\u0447\u0430\u0441\u0442\u043e\u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0431\u0435\u0437 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f;<\/p>\n<\/li>\n<li>\n<p>\u0443\u043c\u0435\u0435\u0442 \u043b\u0438 \u043e\u043d \u043e\u0431\u0449\u0430\u0442\u044c\u0441\u044f \u0441 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c\u0438, DevOps, product teams;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u043d\u0438\u043c\u0430\u0435\u0442 \u043b\u0438 \u043e\u043d \u0440\u0438\u0441\u043a, \u0430 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e output \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<\/li>\n<\/ul>\n<p>\u0420\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044c \u0440\u0435\u0434\u043a\u043e \u0438\u0449\u0435\u0442 \u043f\u0440\u043e\u0441\u0442\u043e \u201c\u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u043b SAST\u201d. \u0427\u0430\u0449\u0435 \u0435\u043c\u0443 \u043d\u0443\u0436\u0435\u043d \u0447\u0435\u043b\u043e\u0432\u0435\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u0435\u0442:<\/p>\n<ul>\n<li>\n<p>\u0432\u0441\u0442\u0440\u043e\u0438\u0442\u044c SAST\/SCA \u0432 pipeline;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043d\u0438\u0437\u0438\u0442\u044c false positives;<\/p>\n<\/li>\n<li>\n<p>\u0441\u0434\u0435\u043b\u0430\u0442\u044c findings \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c\u0438 \u0434\u043b\u044f dev teams;<\/p>\n<\/li>\n<li>\n<p>\u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c ownership;<\/p>\n<\/li>\n<li>\n<p>\u0443\u0441\u043a\u043e\u0440\u0438\u0442\u044c triage;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c coverage;<\/p>\n<\/li>\n<li>\n<p>\u043d\u0435 \u0441\u043b\u043e\u043c\u0430\u0442\u044c delivery;<\/p>\n<\/li>\n<li>\n<p>\u0434\u043e\u0432\u0435\u0441\u0442\u0438 high-risk findings \u0434\u043e validated fix.<\/p>\n<\/li>\n<\/ul>\n<p>\u042d\u0442\u043e \u0443\u0436\u0435 \u043d\u0435 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432. \u042d\u0442\u043e technical output. \u0418 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0437\u0434\u0435\u0441\u044c \u043d\u0443\u0436\u043d\u0430 \u0433\u0440\u0430\u043c\u043e\u0442\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430. \u0418 \u0442\u0430\u043a, \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c \u044d\u0442\u043e \u043d\u0430 \u043c\u0438\u043d\u0438 \u043f\u0440\u0438\u043c\u0435\u0440\u0430\u0445 \u043d\u0438\u0436\u0435.<\/p>\n<h3>\u041f\u043e\u0447\u0435\u043c\u0443 \u201c\u0437\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438\u201d \u0437\u0432\u0443\u0447\u0438\u0442 \u0441\u043b\u0430\u0431\u043e<\/h3>\n<p>\u0424\u0440\u0430\u0437\u0430:<\/p>\n<blockquote>\n<p>\u0417\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439.<\/p>\n<\/blockquote>\n<p>\u043c\u043e\u0436\u0435\u0442 \u043e\u0437\u043d\u0430\u0447\u0430\u0442\u044c \u0432\u0441\u0451 \u0447\u0442\u043e \u0443\u0433\u043e\u0434\u043d\u043e. \u041e\u0434\u0438\u043d \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u043f\u0440\u043e\u0441\u0442\u043e \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u043b \u043e\u0442\u0447\u0451\u0442 \u0438\u0437 \u0441\u043a\u0430\u043d\u0435\u0440\u0430.<br \/>\u0414\u0440\u0443\u0433\u043e\u0439 \u2014 \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u043b 100+ findings \u0432 \u043c\u0435\u0441\u044f\u0446, \u043e\u0442\u0434\u0435\u043b\u044f\u043b exploitable risk \u043e\u0442 \u043c\u0443\u0441\u043e\u0440\u0430, \u043d\u0430\u0437\u043d\u0430\u0447\u0430\u043b ownership, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u043b SLA \u0438 \u043f\u043e\u043c\u043e\u0433\u0430\u043b \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0442\u044c critical\/high backlog.<\/p>\n<p>\u041e\u0431\u0430 \u043c\u043e\u0433\u0443\u0442 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u201c\u0437\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438\u201d. \u041d\u043e \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0440\u0430\u0431\u043e\u0442\u044b \u0440\u0430\u0437\u043d\u044b\u0439. \u0422\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430\u043c\u0438:<\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<th data-colwidth=\"272\" width=\"272\">\n<p align=\"center\">\u0421\u043b\u0430\u0431\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430<\/p>\n<\/th>\n<th>\n<p align=\"center\">\u041f\u043e\u0447\u0435\u043c\u0443 \u0441\u043b\u0430\u0431\u0430\u044f<\/p>\n<\/th>\n<\/tr>\n<tr>\n<td data-colwidth=\"272\" width=\"272\">\n<p align=\"left\">\u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp Suite<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u043b proxy \u0438\u043b\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u043d\u0430\u0445\u043e\u0434\u0438\u043b auth\/session\/business logic issues<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"272\" width=\"272\">\n<p align=\"left\">\u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b SAST<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: \u0432\u043a\u043b\u044e\u0447\u0438\u043b scanner \u0438\u043b\u0438 \u0434\u043e\u0432\u0451\u043b \u0435\u0433\u043e \u0434\u043e usable state<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"272\" width=\"272\">\n<p align=\"left\">\u0423\u0447\u0430\u0441\u0442\u0432\u043e\u0432\u0430\u043b \u0432 DevSecOps<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: \u043f\u0438\u0441\u0430\u043b YAML, \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b gates, \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b checks \u0438\u043b\u0438 \u043f\u0440\u043e\u0441\u0442\u043e \u0431\u044b\u043b \u043d\u0430 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0445<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"272\" width=\"272\">\n<p align=\"left\">\u041c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043b \u0430\u043b\u0435\u0440\u0442\u044b<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: triage, investigation, tuning, playbooks, escalation?<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"272\" width=\"272\">\n<p align=\"left\">\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u043b \u043e\u0431\u043b\u0430\u043a\u043e<\/p>\n<\/td>\n<td>\n<p align=\"left\">\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: IAM, public exposure, logging, encryption, Kubernetes, Terraform?<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p>\u0413\u043b\u0430\u0432\u043d\u044b\u0439 \u0444\u0438\u043b\u044c\u0442\u0440 \u043f\u0440\u043e\u0441\u0442\u043e\u0439:<\/p>\n<blockquote>\n<p>\u0415\u0441\u043b\u0438 bullet \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u044c \u043f\u043e\u0447\u0442\u0438 \u043a \u043b\u044e\u0431\u043e\u043c\u0443 \u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0443 \u0438\u0437 \u043e\u0442\u0434\u0435\u043b\u0430, \u043e\u043d \u0441\u043b\u0430\u0431\u044b\u0439.<\/p>\n<\/blockquote>\n<h3>\u0427\u0442\u043e \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c<\/h3>\n<p>\u0414\u043b\u044f hands-on security roles \u044f \u0431\u044b \u0440\u0430\u0441\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u043b \u043e\u043f\u044b\u0442 \u043d\u0430 \u043f\u044f\u0442\u044c \u0441\u043b\u043e\u0451\u0432 (\u0434\u0430\u044e \u043f\u043e \u0430\u043d\u043d\u043b\u0438\u0439\u0441\u043a\u0438):<\/p>\n<ol>\n<li>\n<p><strong>Stack<\/strong> \u2014 \u0441 \u0447\u0435\u043c \u0442\u044b \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u043b.<\/p>\n<\/li>\n<li>\n<p><strong>Scope<\/strong> \u2014 \u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435.<\/p>\n<\/li>\n<li>\n<p><strong>Evidence<\/strong> \u2014 \u0447\u0435\u043c \u044d\u0442\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442\u0441\u044f.<\/p>\n<\/li>\n<li>\n<p><strong>Impact<\/strong> \u2014 \u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435.<\/p>\n<\/li>\n<li>\n<p><strong>Autonomy<\/strong> \u2014 \u043d\u0430\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0442\u044b \u043c\u043e\u0433 \u0434\u043e\u0432\u0435\u0441\u0442\u0438 \u0437\u0430\u0434\u0430\u0447\u0443 \u0434\u043e \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430.<\/p>\n<\/li>\n<\/ol>\n<p>\u0418, \u0442\u0430\u043a, \u0434\u0430\u0432\u0430\u0439 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c \u043a\u0430\u0436\u0434\u044b\u0439 \u0441\u043b\u043e\u0439.<\/p>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7ad\/70c\/096\/7ad70c096f2902e810dac1246ea19c7c.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/7ad\/70c\/096\/7ad70c096f2902e810dac1246ea19c7c.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7ad\/70c\/096\/7ad70c096f2902e810dac1246ea19c7c.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h3>1. Stack: \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e tools, \u0430 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044f<\/h3>\n<p>Stack \u2014 \u044d\u0442\u043e \u043d\u0435 \u0441\u043f\u0438\u0441\u043e\u043a \u0440\u0430\u0434\u0438 \u0441\u043f\u0438\u0441\u043a\u0430.<\/p>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>SAST, SCA, DAST, Burp, Docker, Kubernetes, AWS.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<blockquote>\n<p>Integrated SAST\/SCA checks into GitLab CI pipelines, performed manual web\/API testing with Burp Suite, reviewed Kubernetes workload configs for secrets, RBAC and network exposure.<\/p>\n<\/blockquote>\n<p>\u0412\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0435 \u0432\u0438\u0434\u043d\u043e, <strong>\u043a\u0430\u043a \u0438\u043c\u0435\u043d\u043d\u043e<\/strong> \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b.<\/p>\n<p><strong>\u0414\u043b\u044f AppSec \u044d\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c:<\/strong><\/p>\n<ul>\n<li>\n<p>SAST\/SCA\/DAST;<\/p>\n<\/li>\n<li>\n<p>Burp Suite;<\/p>\n<\/li>\n<li>\n<p>OWASP ASVS \/ Top 10;<\/p>\n<\/li>\n<li>\n<p>API testing;<\/p>\n<\/li>\n<li>\n<p>secure code review;<\/p>\n<\/li>\n<li>\n<p>threat modeling;<\/p>\n<\/li>\n<li>\n<p>secure SDLC.<\/p>\n<\/li>\n<\/ul>\n<p><strong>\u0414\u043b\u044f DevSecOps:<\/strong><\/p>\n<ul>\n<li>\n<p>GitLab CI \/ GitHub Actions \/ Jenkins;<\/p>\n<\/li>\n<li>\n<p>secrets detection;<\/p>\n<\/li>\n<li>\n<p>IaC scanning;<\/p>\n<\/li>\n<li>\n<p>policy-as-code;<\/p>\n<\/li>\n<li>\n<p>container scanning;<\/p>\n<\/li>\n<li>\n<p>dependency scanning;<\/p>\n<\/li>\n<li>\n<p>security gates.<\/p>\n<\/li>\n<\/ul>\n<p><strong>\u0414\u043b\u044f vulnerability management:<\/strong><\/p>\n<ul>\n<li>\n<p>scanner output;<\/p>\n<\/li>\n<li>\n<p>asset inventory;<\/p>\n<\/li>\n<li>\n<p>SLA;<\/p>\n<\/li>\n<li>\n<p>KEV \/ EPSS;<\/p>\n<\/li>\n<li>\n<p>exposure;<\/p>\n<\/li>\n<li>\n<p>remediation tracking;<\/p>\n<\/li>\n<li>\n<p>dashboards.<\/p>\n<\/li>\n<\/ul>\n<p><strong>\u0414\u043b\u044f cloud security:<\/strong><\/p>\n<ul>\n<li>\n<p>IAM;<\/p>\n<\/li>\n<li>\n<p>public exposure;<\/p>\n<\/li>\n<li>\n<p>CSPM;<\/p>\n<\/li>\n<li>\n<p>logging;<\/p>\n<\/li>\n<li>\n<p>encryption;<\/p>\n<\/li>\n<li>\n<p>Kubernetes;<\/p>\n<\/li>\n<li>\n<p>Terraform;<\/p>\n<\/li>\n<li>\n<p>least privilege.<\/p>\n<\/li>\n<\/ul>\n<p>\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0432\u0430\u0436\u043d\u044b. \u041d\u043e \u043e\u043d\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u0441 \u0437\u0430\u0434\u0430\u0447\u0435\u0439.<\/p>\n<h3>2. Scope: \u0431\u0435\u0437 \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0430 \u043e\u043f\u044b\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u043c\u0435\u043d\u044c\u0448\u0435<\/h3>\n<p>\u041c\u0430\u0441\u0448\u0442\u0430\u0431 \u2014 \u043e\u0434\u0438\u043d \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u043d\u0435\u0434\u043e\u043e\u0446\u0435\u043d\u0451\u043d\u043d\u044b\u0445 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432 \u0432 CV \u0438 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e.<\/p>\n<p>\u0421\u0440\u0430\u0432\u043d\u0438\u0442\u0435:<\/p>\n<blockquote>\n<p>\u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b SCA.<\/p>\n<\/blockquote>\n<p>\u0438:<\/p>\n<blockquote>\n<p>Integrated SCA checks for 30+ repositories and mapped vulnerable dependencies to responsible product teams.<\/p>\n<\/blockquote>\n<p>\u0412\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0435 \u043f\u043e\u043d\u044f\u0442\u043d\u0435\u0435 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0437\u0430\u0434\u0430\u0447\u0438.<\/p>\n<p><strong>Scope \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437:<\/strong><\/p>\n<ul>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e repositories;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e product teams;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e monthly findings;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e endpoints;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e cloud accounts;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e pipelines;<\/p>\n<\/li>\n<li>\n<p>\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e incidents \/ alerts;<\/p>\n<\/li>\n<li>\n<p>external-facing assets;<\/p>\n<\/li>\n<li>\n<p>selected product line;<\/p>\n<\/li>\n<li>\n<p>organization-wide workflow.<\/p>\n<\/li>\n<\/ul>\n<p><strong>\u0415\u0441\u043b\u0438 \u0442\u043e\u0447\u043d\u044b\u0435 \u0446\u0438\u0444\u0440\u044b \u043d\u0435\u043b\u044c\u0437\u044f \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0442\u044c, \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0430\u043a\u043a\u0443\u0440\u0430\u0442\u043d\u044b\u0435 \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d\u044b:<\/strong><\/p>\n<ul>\n<li>\n<p>20+ repositories;<\/p>\n<\/li>\n<li>\n<p>multiple product teams;<\/p>\n<\/li>\n<li>\n<p>100+ monthly findings;<\/p>\n<\/li>\n<li>\n<p>several cloud accounts;<\/p>\n<\/li>\n<li>\n<p>selected product line;<\/p>\n<\/li>\n<li>\n<p>external-facing services;<\/p>\n<\/li>\n<li>\n<p>from manual weekly report to automated dashboard.<\/p>\n<\/li>\n<\/ul>\n<p>\u042d\u0442\u043e \u043d\u0435 \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u0435\u0442\u0430\u043b\u0438, \u043d\u043e \u0434\u0430\u0451\u0442 \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u044e \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442.<\/p>\n<h3>3. Evidence: \u0447\u0435\u043c \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442\u0441\u044f \u0442\u0432\u043e\u0439 \u043e\u043f\u044b\u0442<\/h3>\n<p>Security \u2014 \u043e\u0431\u043b\u0430\u0441\u0442\u044c, \u0433\u0434\u0435 \u201c\u043f\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043c\u043d\u0435\u201d \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043b\u043e\u0445\u043e.<\/p>\n<p><strong>\u0425\u043e\u0440\u043e\u0448\u043e, \u043a\u043e\u0433\u0434\u0430 \u0443 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430 \u0435\u0441\u0442\u044c evidence:<\/strong><\/p>\n<ul>\n<li>\n<p>sanitized reports;<\/p>\n<\/li>\n<li>\n<p>GitHub snippets;<\/p>\n<\/li>\n<li>\n<p>pipeline examples;<\/p>\n<\/li>\n<li>\n<p>detection rules;<\/p>\n<\/li>\n<li>\n<p>dashboards;<\/p>\n<\/li>\n<li>\n<p>playbooks;<\/p>\n<\/li>\n<li>\n<p>checklists;<\/p>\n<\/li>\n<li>\n<p>diagrams;<\/p>\n<\/li>\n<li>\n<p>lab writeups;<\/p>\n<\/li>\n<li>\n<p>STAR stories;<\/p>\n<\/li>\n<li>\n<p>safe screenshots \u0431\u0435\u0437 \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0438\u043c\u0435\u0440\u044b \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043e\u0442\u0447\u0451\u0442\u043e\u0432;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0435 \u0437\u0430\u043c\u0435\u0442\u043a\u0438 \u0438\u043b\u0438 \u0441\u0442\u0430\u0442\u044c\u0438.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f junior \/ middle \u044d\u0442\u043e \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432\u0430\u0436\u043d\u043e. \u0415\u0441\u043b\u0438 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043e\u043f\u044b\u0442\u0430 \u043c\u0430\u043b\u043e, \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c:<\/p>\n<ul>\n<li>\n<p>lab;<\/p>\n<\/li>\n<li>\n<p>CTF \/ HTB writeups;<\/p>\n<\/li>\n<li>\n<p>parser \u0434\u043b\u044f scanner reports;<\/p>\n<\/li>\n<li>\n<p>demo CI policy;<\/p>\n<\/li>\n<li>\n<p>\u0447\u0435\u043a\u043b\u0438\u0441\u0442 \u043f\u043e ASVS;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0438\u043c\u0435\u0440 vulnerability report;<\/p>\n<\/li>\n<li>\n<p>mini dashboard;<\/p>\n<\/li>\n<li>\n<p>automation script;<\/p>\n<\/li>\n<li>\n<p>notes \u043f\u043e threat modeling.<\/p>\n<\/li>\n<\/ul>\n<p><strong>\u0412\u0430\u0436\u043d\u043e: <\/strong>\u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u0432\u044b\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u0442\u044c \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u044b, PoC, \u0447\u0443\u0436\u043e\u0439 \u043a\u043e\u0434 \u0438\u043b\u0438 \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435. \u041d\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0435 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u044b \u0441\u0438\u043b\u044c\u043d\u043e \u043f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c, \u0447\u0442\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0443\u043c\u0435\u0435\u0442 \u0434\u0435\u043b\u0430\u0442\u044c \u0440\u0443\u043a\u0430\u043c\u0438, \u0430 \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u044f\u0435\u0442 keywords.<\/p>\n<h3>4. Impact: \u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435<\/h3>\n<p>Impact \u2014 \u044d\u0442\u043e \u043d\u0435 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u201c\u0441\u044d\u043a\u043e\u043d\u043e\u043c\u0438\u043b \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043c\u0438\u043b\u043b\u0438\u043e\u043d \u0434\u043e\u043b\u043b\u0430\u0440\u043e\u0432\u201d.<\/p>\n<p>\u0412 security \u0447\u0430\u0441\u0442\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0447\u0435\u0441\u0442\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u0438\u0435:<\/p>\n<ul>\n<li>\n<p>\u043f\u043e\u0432\u044b\u0441\u0438\u043b coverage;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043d\u0438\u0437\u0438\u043b false positives;<\/p>\n<\/li>\n<li>\n<p>\u0443\u0441\u043a\u043e\u0440\u0438\u043b triage;<\/p>\n<\/li>\n<li>\n<p>\u0441\u0434\u0435\u043b\u0430\u043b ownership \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043e\u043a\u0440\u0430\u0442\u0438\u043b manual reporting;<\/p>\n<\/li>\n<li>\n<p>\u0443\u043b\u0443\u0447\u0448\u0438\u043b visibility;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u043c\u043e\u0433 \u0437\u0430\u043a\u0440\u044b\u0442\u044c high-risk findings;<\/p>\n<\/li>\n<li>\n<p>\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b workflow;<\/p>\n<\/li>\n<li>\n<p>\u0441\u0434\u0435\u043b\u0430\u043b \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u043c\u043e\u0439;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043d\u0438\u0437\u0438\u043b recurring issues.<\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440:<\/p>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u041f\u0438\u0441\u0430\u043b \u043e\u0442\u0447\u0451\u0442\u044b \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<blockquote>\n<p>Prepared actionable security reports with severity, evidence, remediation steps and retest status, helping development teams prioritize fixes.<\/p>\n<\/blockquote>\n<p>\u0415\u0449\u0451 \u043b\u0443\u0447\u0448\u0435, \u0435\u0441\u043b\u0438 \u0435\u0441\u0442\u044c scope:<\/p>\n<blockquote>\n<p>Prepared actionable security reports for web\/API assessments, including evidence, remediation steps and retest status for high-risk findings before release.<\/p>\n<\/blockquote>\n<p>\u0417\u0434\u0435\u0441\u044c \u0432\u0438\u0434\u043d\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u201c\u043f\u0438\u0441\u0430\u043b \u043e\u0442\u0447\u0451\u0442\u044b\u201d, \u0430 \u0437\u0430\u0447\u0435\u043c \u043e\u043d\u0438 \u0431\u044b\u043b\u0438 \u043d\u0443\u0436\u043d\u044b. \u042d\u0442\u043e \u0443\u0436\u0435 \u0445\u043e\u0440\u043e\u0448\u0430\u044f, \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430. \u0422\u044b \u043f\u0440\u043e\u0434\u0430\u0435\u0448\u044c \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0440\u0443\u0442\u0438\u043d\u0443, \u0430 \u0441\u0432\u043e\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 (\u0442\u043e \u0441\u0430\u043c\u043e\u0435, \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u0437\u0430 \u0447\u0442\u043e \u0438 \u043f\u043b\u0430\u0442\u0438\u0442 \u0440\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044c \u043d\u0430\u043d\u0438\u043c\u0430\u044f \u0442\u0435\u0431\u044f)<\/p>\n<h3>5. Autonomy: \u043c\u043e\u0436\u0435\u0448\u044c \u043b\u0438 \u0442\u044b \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0442\u044c \u0437\u0430\u0434\u0430\u0447\u0443, \u0430 \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043f\u043e\u0440\u0443\u0447\u0435\u043d\u0438\u0435<\/h3>\n<p>\u0414\u043b\u044f middle \/ senior hands-on \u0440\u043e\u043b\u0438 \u0432\u0430\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c autonomy.<\/p>\n<p>\u0422\u043e \u0435\u0441\u0442\u044c \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u044c:<\/p>\n<ul>\n<li>\n<p>\u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0432 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0435;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043e\u0431\u0440\u0430\u0442\u044c facts;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c assumptions;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u044c fix;<\/p>\n<\/li>\n<li>\n<p>\u0434\u043e\u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c\u0441\u044f \u0441 dev \/ team lead;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 retest;<\/p>\n<\/li>\n<li>\n<p>\u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043f\u043e\u0441\u043b\u0435 \u0441\u0435\u0431\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0439 workflow.<\/p>\n<\/li>\n<\/ul>\n<p>\u0424\u0440\u0430\u0437\u0430:<\/p>\n<blockquote>\n<p>\u041c\u043d\u0435 \u043f\u043e\u0440\u0443\u0447\u0430\u043b\u0438 \u0437\u0430\u0434\u0430\u0447\u0438 \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.<\/p>\n<\/blockquote>\n<p>\u0437\u0432\u0443\u0447\u0438\u0442 \u0441\u043b\u0430\u0431\u0435\u0435, \u0447\u0435\u043c:<\/p>\n<blockquote>\n<p>I identified recurring scanner noise, tuned severity policy and suppression workflow, and helped product teams focus on exploitable findings.<\/p>\n<\/blockquote>\n<p>Autonomy \u043d\u0435 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u201c\u044f \u0431\u044b\u043b \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c\u201d.<\/p>\n<p>\u041c\u043e\u0436\u043d\u043e \u043d\u0435 \u0431\u044b\u0442\u044c \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u043e\u043c, \u043d\u043e \u0438\u043c\u0435\u0442\u044c ownership \u0437\u0430 technical outcome.<\/p>\n<hr\/>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/009\/899\/5c2\/0098995c29b4a6ae2382ff9bd848e04c.png\" width=\"1536\" height=\"1024\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/009\/899\/5c2\/0098995c29b4a6ae2382ff9bd848e04c.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/009\/899\/5c2\/0098995c29b4a6ae2382ff9bd848e04c.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>Technical value map: \u043a\u0430\u043a \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442\u044c \u043e\u0431\u044b\u0447\u043d\u0443\u044e \u0440\u0430\u0431\u043e\u0442\u0443 \u0432 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c<\/h2>\n<p>\u041d\u0438\u0436\u0435 \u043f\u0440\u043e\u0441\u0442\u0430\u044f \u043a\u0430\u0440\u0442\u0430 \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0430 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u0432 engineering value.<\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<th data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">Technical action<\/p>\n<\/th>\n<th data-colwidth=\"232\" width=\"232\">\n<p align=\"center\">\u0427\u0442\u043e \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442 \u0434\u043b\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u041a\u0430\u043a \u044d\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0438\u0441\u0430\u0442\u044c<\/p>\n<\/th>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u0412\u043d\u0435\u0434\u0440\u0438\u043b SAST\/SCA \u0432 CI\/CD<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043b\u043e\u0432\u044f\u0442\u0441\u044f \u0440\u0430\u043d\u044c\u0448\u0435, \u043c\u0435\u043d\u044c\u0448\u0435 security debt<\/p>\n<\/td>\n<td>\n<p align=\"left\">Integrated SAST\/SCA into CI\/CD for 30+ repos, increasing automated security coverage before release<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043b rules \/ suppressions<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u041c\u0435\u043d\u044c\u0448\u0435 false positives, \u0432\u044b\u0448\u0435 \u0434\u043e\u0432\u0435\u0440\u0438\u0435 dev teams<\/p>\n<\/td>\n<td>\n<p align=\"left\">Reduced scanner noise by tuning rules and suppression workflow, improving developer adoption<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u0421\u043e\u0431\u0440\u0430\u043b vuln dashboard<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u041f\u043e\u044f\u0432\u0438\u043b\u0441\u044f \u0435\u0434\u0438\u043d\u044b\u0439 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u043f\u0440\u0430\u0432\u0434\u044b \u043f\u043e severity, ownership \u0438 SLA<\/p>\n<\/td>\n<td>\n<p align=\"left\">Built vulnerability dashboard to track severity, ownership and remediation SLA across product teams<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b report\/export<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u041c\u0435\u043d\u044c\u0448\u0435 \u0440\u0443\u0447\u043d\u043e\u0439 \u0440\u0443\u0442\u0438\u043d\u044b, \u0431\u044b\u0441\u0442\u0440\u0435\u0435 visibility<\/p>\n<\/td>\n<td>\n<p align=\"left\">Automated recurring security reports, reducing manual reporting time and improving visibility<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u041f\u0440\u043e\u0432\u0451\u043b web\/API pentest<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u041d\u0430\u0439\u0434\u0435\u043d\u044b \u0438 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u044b exploitable paths<\/p>\n<\/td>\n<td>\n<p align=\"left\">Performed web\/API testing and validated remediation for high-risk findings before production release<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043b secrets detection<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u0421\u0435\u043a\u0440\u0435\u0442\u044b \u043b\u043e\u0432\u044f\u0442\u0441\u044f \u0440\u0430\u043d\u044c\u0448\u0435, \u0434\u043e \u043f\u043e\u043f\u0430\u0434\u0430\u043d\u0438\u044f \u0432 production<\/p>\n<\/td>\n<td>\n<p align=\"left\">Added secrets detection to CI\/CD and helped teams remediate exposed credentials before release<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"204\" width=\"204\">\n<p align=\"left\">\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043b IAM \/ public exposure<\/p>\n<\/td>\n<td data-colwidth=\"232\" width=\"232\">\n<p align=\"left\">\u0421\u043d\u0438\u0436\u0435\u043d\u044b cloud misconfiguration risks<\/p>\n<\/td>\n<td>\n<p align=\"left\">Reviewed IAM permissions, public exposure and logging coverage across cloud environments<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p>\u042d\u0442\u0430 \u0442\u0430\u0431\u043b\u0438\u0446\u0430 \u043f\u043e\u043b\u0435\u0437\u043d\u0430 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f CV. \u041f\u043e \u043d\u0435\u0439 \u043c\u043e\u0436\u043d\u043e \u0433\u043e\u0442\u043e\u0432\u0438\u0442\u044c LinkedIn, self-intro, \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e \u0438 performance review. \u041c\u043e\u0436\u043d\u043e  \u0441\u043e\u0447\u0435\u0442\u0430\u0442\u044c \u043e \u0440\u0430\u0437\u043d\u043e\u043c\u0443, \u043f\u0440\u043e\u044f\u0432\u0438 \u0441\u0432\u043e\u044e \u0442\u0432\u043e\u0440\u0447\u0435\u0441\u043a\u0443\u044e \u0441\u0438\u043b\u0443 \u0438 \u0441\u043e\u0431\u0435\u0440\u0438 \u0443\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u0440\u043e\u0444\u0438\u043b\u044c \u0441 \u0430\u0432\u0442\u043e\u0440\u0441\u043a\u043e\u0439 \u043f\u043e\u0434\u0430\u0447\u0435\u0439.<\/p>\n<h2>\u0424\u043e\u0440\u043c\u0443\u043b\u0430 \u0445\u043e\u0440\u043e\u0448\u0435\u0433\u043e CV bullet<\/h2>\n<p>\u042f \u0431\u044b \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0440\u0432\u0430\u043b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0442\u0430\u043a\u0443\u044e \u0444\u043e\u0440\u043c\u0443\u043b\u0443:<\/p>\n<blockquote>\n<p><strong>Action + Scope + Tool\/Method + Evidence + Impact<\/strong><\/p>\n<\/blockquote>\n<p>\u0418\u043b\u0438 \u043f\u043e-\u0440\u0443\u0441\u0441\u043a\u0438:<\/p>\n<blockquote>\n<p>\u0421\u0434\u0435\u043b\u0430\u043b X \u0434\u043b\u044f Y, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f Z, \u0432 \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435 N, \u0447\u0442\u043e\u0431\u044b \u0443\u043b\u0443\u0447\u0448\u0438\u0442\u044c \/ \u0441\u043d\u0438\u0437\u0438\u0442\u044c \/ \u0443\u0441\u043a\u043e\u0440\u0438\u0442\u044c \/ \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c R.<\/p>\n<\/blockquote>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440\u044b. \u0414\u0430\u043b\u044c\u0448\u0435 \u0431\u0443\u0434\u0443 \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043f\u043e \u0430\u043d\u0433\u043b\u0438\u0439\u0441\u043a\u0438.<\/p>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b SAST.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0435\u0435:<\/p>\n<blockquote>\n<p>Integrated SAST into GitLab CI pipelines for 20+ repositories and tuned rules to improve signal quality for development teams.<\/p>\n<\/blockquote>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp Suite.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0435\u0435:<\/p>\n<blockquote>\n<p>Performed manual web\/API security testing with Burp Suite, validating auth, session management and business logic issues.<\/p>\n<\/blockquote>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u0417\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0435\u0435:<\/p>\n<blockquote>\n<p>Triaged and prioritized vulnerability findings across internal services using severity, exploitability and asset exposure.<\/p>\n<\/blockquote>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u041f\u043e\u043c\u043e\u0433\u0430\u043b \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0431\u0430\u0433\u0438.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0435\u0435:<\/p>\n<blockquote>\n<p>Worked with developers to validate fixes and reduce recurring security defects through retest and actionable remediation guidance.<\/p>\n<\/blockquote>\n<hr\/>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/f7c\/bd1\/639\/f7cbd16396efd3c146c162b091ce8e96.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/f7c\/bd1\/639\/f7cbd16396efd3c146c162b091ce8e96.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/f7c\/bd1\/639\/f7cbd16396efd3c146c162b091ce8e96.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>\u041c\u0438\u043d\u0438-\u043a\u0435\u0439\u0441 1: SAST\/SCA \u0432 CI\/CD<\/h2>\n<p>\u0421\u043b\u0430\u0431\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>\u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b SAST \u0438 SCA \u0432 CI\/CD.<\/p>\n<\/blockquote>\n<p>\u0427\u0442\u043e \u043d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e:<\/p>\n<ul>\n<li>\n<p>\u0434\u043b\u044f \u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0435\u0432;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u043e\u0439 \u0431\u044b\u043b pipeline;<\/p>\n<\/li>\n<li>\n<p>\u0431\u044b\u043b\u0438 \u043b\u0438 rules;<\/p>\n<\/li>\n<li>\n<p>\u0447\u0442\u043e \u0434\u0435\u043b\u0430\u043b\u0438 \u0441 false positives;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0442\u043e \u0432\u043b\u0430\u0434\u0435\u043b findings;<\/p>\n<\/li>\n<li>\n<p>\u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435.<\/p>\n<\/li>\n<\/ul>\n<p>\u0421\u0438\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>Integrated SAST\/SCA checks into GitLab CI for 30+ repositories, tuned severity thresholds and suppression workflow, and mapped findings to responsible product teams to improve remediation ownership.<\/p>\n<\/blockquote>\n<p><strong>\u041f\u043e\u0447\u0435\u043c\u0443 \u044d\u0442\u043e \u043b\u0443\u0447\u0448\u0435:<\/strong><\/p>\n<ul>\n<li>\n<p>\u0435\u0441\u0442\u044c action \u2014 integrated, tuned, mapped;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c scope \u2014 30+ repositories;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c context \u2014 GitLab CI;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c engineering value \u2014 remediation ownership;<\/p>\n<\/li>\n<li>\n<p>\u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0434\u0443\u043c\u0430\u043b \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u043e scanner, \u043d\u043e \u0438 \u043f\u0440\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441.<\/p>\n<\/li>\n<\/ul>\n<h2>\u041c\u0438\u043d\u0438-\u043a\u0435\u0439\u0441 2: vulnerability management<\/h2>\n<p>\u0421\u043b\u0430\u0431\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>\u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 vulnerability scanner \u0438 CVEs.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>Triaged 100+ monthly vulnerability findings across internal and external-facing assets, prioritizing remediation by severity, exploitability, exposure and business criticality.<\/p>\n<\/blockquote>\n<p><strong>\u041f\u043e\u0447\u0435\u043c\u0443 \u044d\u0442\u043e \u043b\u0443\u0447\u0448\u0435:<\/strong><\/p>\n<ul>\n<li>\n<p>\u0435\u0441\u0442\u044c \u043e\u0431\u044a\u0451\u043c;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c \u0442\u0438\u043f assets;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c \u0437\u0440\u0435\u043b\u0430\u044f \u043f\u0440\u0438\u043e\u0440\u0438\u0442\u0438\u0437\u0430\u0446\u0438\u044f;<\/p>\n<\/li>\n<li>\n<p>\u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e CVSS;<\/p>\n<\/li>\n<li>\n<p>\u0432\u0438\u0434\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u0435 risk-based \u043f\u043e\u0434\u0445\u043e\u0434\u0430.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f vulnerability management \u043d\u0435 \u0441\u0442\u043e\u0438\u0442 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e CVSS.<\/p>\n<p>\u0412 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0440\u0438\u043e\u0440\u0438\u0442\u0438\u0437\u0430\u0446\u0438\u0438 \u0447\u0430\u0441\u0442\u043e \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u044e\u0442:<\/p>\n<ul>\n<li>\n<p>exploitability;<\/p>\n<\/li>\n<li>\n<p>exposure;<\/p>\n<\/li>\n<li>\n<p>business criticality;<\/p>\n<\/li>\n<li>\n<p>KEV;<\/p>\n<\/li>\n<li>\n<p>EPSS;<\/p>\n<\/li>\n<li>\n<p>asset context;<\/p>\n<\/li>\n<li>\n<p>compensating controls;<\/p>\n<\/li>\n<li>\n<p>\u043d\u0430\u043b\u0438\u0447\u0438\u0435 public exploit;<\/p>\n<\/li>\n<li>\n<p>internet-facing \u043f\u043e\u0432\u0435\u0440\u0445\u043d\u043e\u0441\u0442\u044c.<\/p>\n<\/li>\n<\/ul>\n<p>\u0424\u0440\u0430\u0437\u0430:<\/p>\n<blockquote>\n<p>Prioritized internet-facing and KEV-listed vulnerabilities first.<\/p>\n<\/blockquote>\n<p>\u0437\u0432\u0443\u0447\u0438\u0442 \u043d\u0430\u043c\u043d\u043e\u0433\u043e \u0441\u0438\u043b\u044c\u043d\u0435\u0435, \u0447\u0435\u043c:<\/p>\n<blockquote>\n<p>Worked with CVEs.<\/p>\n<\/blockquote>\n<p>\u041f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u043f\u0435\u0440\u0432\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0445\u043e\u0434 \u043c\u044b\u0448\u043b\u0435\u043d\u0438\u044f.<\/p>\n<h2>\u041c\u0438\u043d\u0438-\u043a\u0435\u0439\u0441 3: pentest \/ API security<\/h2>\n<p>\u0421\u043b\u0430\u0431\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>\u041f\u0440\u043e\u0432\u043e\u0434\u0438\u043b \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 API.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>Performed targeted API security testing before release, validating authorization bypass, token handling, IDOR-like paths, rate limits and error handling; documented PoC and retested fixes with developers.<\/p>\n<\/blockquote>\n<p><strong>\u041f\u043e\u0447\u0435\u043c\u0443 \u044d\u0442\u043e \u043b\u0443\u0447\u0448\u0435:<\/strong><\/p>\n<ul>\n<li>\n<p>\u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u043b\u043e\u0441\u044c;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u0430\u044f PoC-\u0434\u0438\u0441\u0446\u0438\u043f\u043b\u0438\u043d\u0430;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c retest;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0430 \u0441 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c\u0438;<\/p>\n<\/li>\n<li>\n<p>\u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0441\u0432\u044f\u0437\u0430\u043d \u0441 \u0440\u0435\u043b\u0438\u0437\u043e\u043c.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f pentest \/ offensive roles \u0432\u0430\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u201c\u043d\u0430\u0448\u0451\u043b \u0431\u0430\u0433\u201d, \u043d\u043e \u0438:<\/p>\n<ul>\n<li>\n<p>evidence;<\/p>\n<\/li>\n<li>\n<p>exploitability;<\/p>\n<\/li>\n<li>\n<p>impact;<\/p>\n<\/li>\n<li>\n<p>remediation;<\/p>\n<\/li>\n<li>\n<p>retest;<\/p>\n<\/li>\n<li>\n<p>report quality;<\/p>\n<\/li>\n<li>\n<p>\u0443\u043c\u0435\u043d\u0438\u0435 \u043d\u0435 \u043b\u043e\u043c\u0430\u0442\u044c production;<\/p>\n<\/li>\n<li>\n<p>\u0443\u043c\u0435\u043d\u0438\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u0438\u0442\u044c \u0440\u0438\u0441\u043a.<\/p>\n<\/li>\n<\/ul>\n<h2>\u041c\u0438\u043d\u0438-\u043a\u0435\u0439\u0441 4: cloud security<\/h2>\n<p>\u0421\u043b\u0430\u0431\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u043b AWS.<\/p>\n<\/blockquote>\n<p>\u0421\u0438\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430:<\/p>\n<blockquote>\n<p>Reviewed cloud misconfigurations around IAM permissions, public storage exposure, logging and encryption coverage, then created repeatable checks to reduce recurring issues.<\/p>\n<\/blockquote>\n<p><strong>\u041f\u043e\u0447\u0435\u043c\u0443 \u044d\u0442\u043e \u043b\u0443\u0447\u0448\u0435:<\/strong><\/p>\n<ul>\n<li>\n<p>\u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u043a\u0430\u043a\u0438\u0435 \u043a\u043b\u0430\u0441\u0441\u044b misconfigurations \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u043b\u0438\u0441\u044c;<\/p>\n<\/li>\n<li>\n<p>\u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0431\u044b\u043b\u0430 \u043d\u0435 \u0440\u0430\u0437\u043e\u0432\u0430\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430, \u0430 repeatable checks;<\/p>\n<\/li>\n<li>\n<p>\u0435\u0441\u0442\u044c outcome \u2014 \u0441\u043d\u0438\u0436\u0435\u043d\u0438\u0435 recurring issues.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f cloud security \u0445\u043e\u0440\u043e\u0448\u043e \u0437\u0432\u0443\u0447\u0430\u0442:<\/p>\n<ul>\n<li>\n<p>IAM least privilege;<\/p>\n<\/li>\n<li>\n<p>public exposure;<\/p>\n<\/li>\n<li>\n<p>logging coverage;<\/p>\n<\/li>\n<li>\n<p>encryption;<\/p>\n<\/li>\n<li>\n<p>Kubernetes workload configs;<\/p>\n<\/li>\n<li>\n<p>Terraform \/ IaC scanning;<\/p>\n<\/li>\n<li>\n<p>CSPM findings;<\/p>\n<\/li>\n<li>\n<p>misconfiguration MTTR.<\/p>\n<\/li>\n<\/ul>\n<hr\/>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/18d\/cb1\/08e\/18dcb108eb9174df78207e2baf4eea78.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/18d\/cb1\/08e\/18dcb108eb9174df78207e2baf4eea78.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/18d\/cb1\/08e\/18dcb108eb9174df78207e2baf4eea78.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>ATS keywords: \u043a\u0430\u043a \u043d\u0435 \u043f\u0440\u0435\u0432\u0440\u0430\u0442\u0438\u0442\u044c CV \u0432 \u043c\u0443\u0441\u043e\u0440<\/h2>\n<p>\u0414\u0430, keywords \u0432\u0430\u0436\u043d\u044b. ATS \u0438 recruiters \u0447\u0430\u0441\u0442\u043e \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u043c\u0430\u0442\u0447\u044f\u0442 vocabulary, \u0430 \u0443\u0436\u0435 \u043f\u043e\u0442\u043e\u043c \u0441\u043c\u043e\u0442\u0440\u044f\u0442 \u0442\u0432\u043e\u0439 \u043e\u043f\u044b\u0442, \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b, \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438, \u043f\u0435\u0442 \u043f\u0440\u043e\u0435\u043a\u0442\u044b \u0438 \u0442.\u0434. \u0418, \u0432\u043e\u0442 \u0447\u0442\u043e \u0437\u0434\u0435\u0441\u044c \u0431\u0443\u0434\u0435\u0442 \u0440\u0435\u043b\u0435\u0432\u0430\u043d\u0442\u043d\u043e:<\/p>\n<ul>\n<li>\n<p>SAST;<\/p>\n<\/li>\n<li>\n<p>SCA;<\/p>\n<\/li>\n<li>\n<p>DAST;<\/p>\n<\/li>\n<li>\n<p>Kubernetes;<\/p>\n<\/li>\n<li>\n<p>AWS;<\/p>\n<\/li>\n<li>\n<p>Terraform;<\/p>\n<\/li>\n<li>\n<p>Burp Suite;<\/p>\n<\/li>\n<li>\n<p>OWASP;<\/p>\n<\/li>\n<li>\n<p>threat modeling;<\/p>\n<\/li>\n<li>\n<p>incident response;<\/p>\n<\/li>\n<li>\n<p>vulnerability management;<\/p>\n<\/li>\n<li>\n<p>CI\/CD security.<\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u043e keyword stuffing \u0431\u044b\u0441\u0442\u0440\u043e \u043b\u043e\u043c\u0430\u0435\u0442\u0441\u044f \u043d\u0430 technical screen. \u0418\u0431\u043e \u043d\u0430 \u044d\u0442\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u0442\u044b \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0448\u044c \u043d\u0435 \u0437\u043d\u0430\u043d\u0438\u0435 \u0430\u0431\u0431\u0440\u0435\u0432\u0438\u0430\u0442\u0443\u0440 \u0438 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u0442\u0443\u043b\u043e\u0432, \u0430 \u043b\u0430\u0435\u0448\u044c \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043e \u0442\u043e\u043c \u0447\u0442\u043e \u0442\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b \u0432 \u0440\u0430\u0431\u043e\u0442\u0435, \u043f\u043e\u0447\u0435\u043c\u0443 \u0438\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u043e, \u043a\u0430\u043a\u0438\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b\\\u0437\u0430\u0434\u0430\u0447\u0438 \u044d\u0442\u043e \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u043b\u043e, \u0438 \u0447\u0442\u043e \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e \u0442\u044b \u043c\u043e\u0436\u0435\u0448\u044c \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u043e \u0441\u0432\u043e\u0435\u043c (\u043d\u0435 \u0432\u0441\u0435\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b) \u0432\u043a\u043b\u0430\u0434\u0435 \u0432 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442.<\/p>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>SAST, SCA, DAST, DevSecOps, Kubernetes, Cloud Security, Threat Modeling, Incident Response.<\/p>\n<\/blockquote>\n<p><strong>\u041b\u0443\u0447\u0448\u0435 \u0431\u0443\u0434\u0435\u0442 \u0442\u0430\u043a:<\/strong><\/p>\n<div>\n<div class=\"table\">\n<table>\n<tbody>\n<tr>\n<th data-colwidth=\"214\" width=\"214\">\n<p align=\"left\">Keyword<\/p>\n<\/th>\n<th>\n<p align=\"left\">\u041d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u0430\u044f \u0432\u0441\u0442\u0430\u0432\u043a\u0430<\/p>\n<\/th>\n<\/tr>\n<tr>\n<td data-colwidth=\"214\" width=\"214\">\n<p align=\"left\">SAST \/ SCA<\/p>\n<\/td>\n<td>\n<p align=\"left\">Integrated SAST\/SCA checks into GitLab CI and tuned false positives for product teams<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"214\" width=\"214\">\n<p align=\"left\">Kubernetes security<\/p>\n<\/td>\n<td>\n<p align=\"left\">Reviewed Kubernetes workload configs for secrets, RBAC, image policy and network exposure<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"214\" width=\"214\">\n<p align=\"left\">Threat modeling<\/p>\n<\/td>\n<td>\n<p align=\"left\">Participated in lightweight threat modeling for API flows using data flow and trust boundary review<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"214\" width=\"214\">\n<p align=\"left\">Incident response<\/p>\n<\/td>\n<td>\n<p align=\"left\">Investigated alerts, collected evidence, updated detection logic and documented response steps<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td data-colwidth=\"214\" width=\"214\">\n<p align=\"left\">Cloud security<\/p>\n<\/td>\n<td>\n<p align=\"left\">Reviewed IAM permissions, public exposure, logging and encryption settings in cloud environments<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<p>\u041f\u0440\u0430\u0432\u0438\u043b\u043e \u043f\u0440\u043e\u0441\u0442\u043e\u0435:<\/p>\n<blockquote>\n<p>\u0411\u0435\u0440\u0451\u043c vocabulary \u0432\u0430\u043a\u0430\u043d\u0441\u0438\u0438 \u0438 \u0441\u0432\u044f\u0437\u044b\u0432\u0430\u0435\u043c \u0435\u0433\u043e \u0441 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u043f\u0440\u0438\u043c\u0435\u0440\u0430\u043c\u0438.<\/p>\n<\/blockquote>\n<h2>Technical interview: \u0447\u0442\u043e \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442 \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435<\/h2>\n<p>\u041d\u0430 technical interview \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0437\u043d\u0430\u043d\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<p><strong>\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442 thinking process:<\/strong><\/p>\n<ul>\n<li>\n<p>\u043a\u0430\u043a \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442 facts;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u0441\u0442\u0440\u043e\u0438\u0442 \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u044b, \u043d\u0430 \u0447\u0442\u043e \u043e\u043f\u0438\u0440\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u0438 \u0437\u0430\u0434\u0430\u0447\u0438;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 assumptions;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u0442 trade-offs;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442 risk (\u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0438 \u0431\u0438\u0437\u043d\u0435\u0441);<\/p>\n<\/li>\n<li>\n<p>\u0443\u043c\u0435\u0435\u0442 \u043b\u0438 \u043f\u0440\u0438\u0437\u043d\u0430\u0442\u044c \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0435 \u0438 \u0431\u0440\u0430\u0442\u044c \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u044c;<\/p>\n<\/li>\n<li>\n<p>\u043d\u0435 \u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043b\u0438 \u043f\u0440\u043e\u0434\u0430\u0432\u0430\u0442\u044c fake expertise.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u0430\u0436\u0435 \u0435\u0441\u043b\u0438 \u0432\u043e\u043f\u0440\u043e\u0441 \u0443\u0437\u043a\u0438\u0439, \u043b\u0443\u0447\u0448\u0435 \u043e\u0442\u0432\u0435\u0447\u0430\u0442\u044c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043d\u043e. \u041d\u0438\u0436\u0435 \u0447\u0443\u0442\u044c \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043f\u0440\u043e\u0431\u0435\u0436\u0438\u043c\u0441\u044f \u043f\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u043c \u043f\u043e\u0438\u043d\u0442\u0430\u043c \u0442\u0430\u043a\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e.<\/p>\n<h3>Design \/ architecture<\/h3>\n<p>\u0424\u043e\u0440\u043c\u0430\u0442 \u043e\u0442\u0432\u0435\u0442\u0430:<\/p>\n<ol>\n<li>\n<p>\u0443\u0442\u043e\u0447\u043d\u0438\u0442\u044c assumptions;<\/p>\n<\/li>\n<li>\n<p>\u043e\u043f\u0438\u0441\u0430\u0442\u044c data flow;<\/p>\n<\/li>\n<li>\n<p>\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c trust boundaries;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u044c controls;<\/p>\n<\/li>\n<li>\n<p>\u043e\u0431\u044a\u044f\u0441\u043d\u0438\u0442\u044c trade-offs.<\/p>\n<\/li>\n<\/ol>\n<p>\u0424\u0440\u0430\u0437\u0430:<\/p>\n<blockquote>\n<p>I would first clarify data flow, trust boundaries and deployment model, then choose controls.<\/p>\n<\/blockquote>\n<h3>Troubleshooting<\/h3>\n<p>\u0424\u043e\u0440\u043c\u0430\u0442 \u043e\u0442\u0432\u0435\u0442\u0430:<\/p>\n<ol>\n<li>\n<p>reproduce;<\/p>\n<\/li>\n<li>\n<p>logs;<\/p>\n<\/li>\n<li>\n<p>scope;<\/p>\n<\/li>\n<li>\n<p>isolate;<\/p>\n<\/li>\n<li>\n<p>fix;<\/p>\n<\/li>\n<li>\n<p>validate.<\/p>\n<\/li>\n<\/ol>\n<p>\u0424\u0440\u0430\u0437\u0430:<\/p>\n<blockquote>\n<p>I would check whether it is a scanner issue, pipeline config issue or actual dependency exposure.<\/p>\n<\/blockquote>\n<h3>Tooling<\/h3>\n<p>\u041d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e:<\/p>\n<blockquote>\n<p>I used scanner X.<\/p>\n<\/blockquote>\n<p>\u0410:<\/p>\n<blockquote>\n<p>The hard part was not enabling the scanner, but tuning severity, ownership workflow and false positives.<\/p>\n<\/blockquote>\n<h3>Security finding<\/h3>\n<p>\u0424\u043e\u0440\u043c\u0430\u0442:<\/p>\n<ol>\n<li>\n<p>evidence;<\/p>\n<\/li>\n<li>\n<p>exploitability;<\/p>\n<\/li>\n<li>\n<p>impact;<\/p>\n<\/li>\n<li>\n<p>remediation;<\/p>\n<\/li>\n<li>\n<p>retest.<\/p>\n<\/li>\n<\/ol>\n<p>\u0424\u0440\u0430\u0437\u0430:<\/p>\n<blockquote>\n<p>I would provide PoC, affected endpoint, risk, fix recommendation and validation criteria.<\/p>\n<\/blockquote>\n<h3>Unknown topic<\/h3>\n<p>\u0425\u043e\u0440\u043e\u0448\u0438\u0439 \u043e\u0442\u0432\u0435\u0442:<\/p>\n<blockquote>\n<p>I have not run this exact setup in production, but I understand the underlying model and would test it this way.<\/p>\n<\/blockquote>\n<p>\u042d\u0442\u043e \u043b\u0443\u0447\u0448\u0435, \u0447\u0435\u043c \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e \u0444\u0430\u043d\u0442\u0430\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c.<\/p>\n<p>\u0412 security \u0434\u043e\u0432\u0435\u0440\u0438\u0435 \u0447\u0430\u0441\u0442\u043e \u0432\u0430\u0436\u043d\u0435\u0435 \u0442\u0435\u0430\u0442\u0440\u0430.<\/p>\n<hr\/>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/312\/6d3\/519\/3126d35198bc1ea3c79606b8f1a409ad.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/312\/6d3\/519\/3126d35198bc1ea3c79606b8f1a409ad.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/312\/6d3\/519\/3126d35198bc1ea3c79606b8f1a409ad.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>STAR stories \u0434\u043b\u044f \u0442\u0435\u0445\u043d\u0430\u0440\u044f<\/h2>\n<p>STAR \u0447\u0430\u0441\u0442\u043e \u0432\u043e\u0441\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u044e\u0442 \u043a\u0430\u043a HR-\u0448\u0430\u0431\u043b\u043e\u043d. \u041d\u043e \u0434\u043b\u044f hands-on \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430 \u044d\u0442\u043e \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u043f\u043e\u0441\u043e\u0431 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c technical stories (\u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u043d\u0430 \u0437\u0430\u043f\u0430\u0434\u043d\u043e\u043c \u0440\u044b\u043d\u043a\u0435).<\/p>\n<p>\u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u2014 \u043d\u0435 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0442\u044c STAR \u0432 \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u0441\u043a\u0443\u044e \u0440\u0435\u0447\u044c.<\/p>\n<h3>S \u2014 Situation<\/h3>\n<p>\u041a\u043e\u043d\u0442\u0435\u043a\u0441\u0442:<\/p>\n<ul>\n<li>\n<p>\u043a\u0430\u043a\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u043e\u0439 \u0440\u0438\u0441\u043a;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u043e\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u0447\u0435\u043c\u0443 \u0437\u0430\u0434\u0430\u0447\u0430 \u0431\u044b\u043b\u0430 \u0432\u0430\u0436\u043d\u0430.<\/p>\n<\/li>\n<\/ul>\n<h3>T \u2014 Task<\/h3>\n<p>\u0427\u0442\u043e \u0431\u044b\u043b\u043e \u043d\u0430 \u0442\u0435\u0431\u0435:<\/p>\n<ul>\n<li>\n<p>\u0432\u043d\u0435\u0434\u0440\u0438\u0442\u044c \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443;<\/p>\n<\/li>\n<li>\n<p>\u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c backlog;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 testing;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043d\u0438\u0437\u0438\u0442\u044c noise;<\/p>\n<\/li>\n<li>\n<p>\u0441\u0434\u0435\u043b\u0430\u0442\u044c dashboard;<\/p>\n<\/li>\n<li>\n<p>\u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c report;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 retest.<\/p>\n<\/li>\n<\/ul>\n<h3>A \u2014 Action<\/h3>\n<p>\u0427\u0442\u043e \u0442\u044b \u0441\u0434\u0435\u043b\u0430\u043b \u0440\u0443\u043a\u0430\u043c\u0438:<\/p>\n<ul>\n<li>\n<p>tools;<\/p>\n<\/li>\n<li>\n<p>scripts;<\/p>\n<\/li>\n<li>\n<p>configs;<\/p>\n<\/li>\n<li>\n<p>tests;<\/p>\n<\/li>\n<li>\n<p>validation;<\/p>\n<\/li>\n<li>\n<p>communication with dev team.<\/p>\n<\/li>\n<\/ul>\n<h3>R \u2014 Result<\/h3>\n<p>\u0427\u0442\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u043b\u043e\u0441\u044c:<\/p>\n<ul>\n<li>\n<p>\u0431\u044b\u0441\u0442\u0440\u0435\u0435 triage;<\/p>\n<\/li>\n<li>\n<p>\u043c\u0435\u043d\u044c\u0448\u0435 false positives;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u043d\u044f\u0442\u043d\u0435\u0435 ownership;<\/p>\n<\/li>\n<li>\n<p>\u0432\u044b\u0448\u0435 coverage;<\/p>\n<\/li>\n<li>\n<p>\u043c\u0435\u043d\u044c\u0448\u0435 manual work;<\/p>\n<\/li>\n<li>\n<p>validated fixes;<\/p>\n<\/li>\n<li>\n<p>\u0431\u043e\u043b\u0435\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0439 release.<\/p>\n<\/li>\n<\/ul>\n<h3>\u041f\u0440\u0438\u043c\u0435\u0440 STAR 1: DevSecOps \/ SCA<\/h3>\n<p><strong>Situation:<\/strong> \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u043b\u0438\u0441\u044c \u043d\u0435\u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e, findings \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u043b\u0438 \u043f\u043e\u0437\u0434\u043d\u043e \u0438 \u0431\u0435\u0437 ownership.<\/p>\n<p><strong>Task:<\/strong> \u0432\u0441\u0442\u0440\u043e\u0438\u0442\u044c SCA \u0432 CI\/CD \u0434\u043b\u044f \u0433\u0440\u0443\u043f\u043f\u044b \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u043f\u0440\u043e\u0446\u0435\u0441\u0441 triage \u043f\u0440\u0438\u0433\u043e\u0434\u043d\u044b\u043c \u0434\u043b\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432.<\/p>\n<p><strong>Action:<\/strong> \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u043b scanner, \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043b policy thresholds, suppression workflow, ownership mapping \u0438 weekly export.<\/p>\n<p><strong>Result:<\/strong> \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u043d\u0430\u0447\u0430\u043b\u0430 \u0432\u0438\u0434\u0435\u0442\u044c vulnerable dependencies \u0434\u043e \u0440\u0435\u043b\u0438\u0437\u0430, manual reporting \u0441\u043e\u043a\u0440\u0430\u0442\u0438\u043b\u0441\u044f, \u0430 backlog high\/critical \u0441\u0442\u0430\u043b \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u043c \u0447\u0435\u0440\u0435\u0437 SLA.<\/p>\n<h3>\u041f\u0440\u0438\u043c\u0435\u0440 STAR 2: API security<\/h3>\n<p><strong>Situation:<\/strong> \u043f\u0435\u0440\u0435\u0434 \u0440\u0435\u043b\u0438\u0437\u043e\u043c API \u043d\u0435 \u0431\u044b\u043b\u043e \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u0438 \u0432 auth\/session controls.<\/p>\n<p><strong>Task:<\/strong> \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 targeted testing \u0438 \u0434\u0430\u0442\u044c actionable findings.<\/p>\n<p><strong>Action:<\/strong> \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u043b authorization bypass, token handling, IDOR-like paths, rate limits \u0438 error handling; \u043e\u0444\u043e\u0440\u043c\u0438\u043b PoC \u0431\u0435\u0437 \u0440\u0430\u0437\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439; \u043f\u043e\u0441\u043b\u0435 fixes \u0441\u0434\u0435\u043b\u0430\u043b retest.<\/p>\n<p><strong>Result:<\/strong> \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u044b\u0435 paths \u0437\u0430\u043a\u0440\u044b\u043b\u0438 \u0434\u043e \u0440\u0435\u043b\u0438\u0437\u0430, \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0430 checklist \u0434\u043b\u044f \u043f\u043e\u0445\u043e\u0436\u0438\u0445 endpoints.<\/p>\n<hr\/>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/907\/f34\/224\/907f342248e11d7136900295fac06a76.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/907\/f34\/224\/907f342248e11d7136900295fac06a76.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/907\/f34\/224\/907f342248e11d7136900295fac06a76.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>Self-intro \u043d\u0430 45 \u0441\u0435\u043a\u0443\u043d\u0434<\/h2>\n<p>Self-intro \u0434\u043e\u043b\u0436\u0435\u043d \u0434\u0430\u0442\u044c \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e\u0435\u0440\u0443 \u043a\u0430\u0440\u0442\u0443:<\/p>\n<ul>\n<li>\n<p>\u043a\u0442\u043e \u0442\u044b;<\/p>\n<\/li>\n<li>\n<p>\u0432 \u0447\u0451\u043c \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u043e\u0439 stack \u0432 \u0440\u0430\u0431\u043e\u0442\u0435;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u043e\u0439 scope;<\/p>\n<\/li>\n<li>\n<p>\u043a\u0430\u043a\u0438\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0445\u043e\u0447\u0435\u0448\u044c \u0440\u0435\u0448\u0430\u0442\u044c \u0434\u0430\u043b\u044c\u0448\u0435\\\u0447\u0442\u043e \u0438\u0449\u0435\u0448\u044c \u0434\u043b\u044f \u0441\u0435\u0431\u044f.<\/p>\n<\/li>\n<\/ul>\n<p>\u041f\u043b\u043e\u0445\u043e (\u043e\u0447\u0435\u043d\u044c \u043f\u043b\u043e\u0445\u043e):<\/p>\n<blockquote>\n<p>\u042f \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439, \u043a\u043e\u043c\u043c\u0443\u043d\u0438\u043a\u0430\u0431\u0435\u043b\u044c\u043d\u044b\u0439, \u0431\u044b\u0441\u0442\u0440\u043e \u043e\u0431\u0443\u0447\u0430\u044e\u0441\u044c \u0438 \u043b\u044e\u0431\u043b\u044e \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<blockquote>\n<p>\u042f AppSec \/ DevSecOps engineer \u0441 hands-on \u043e\u043f\u044b\u0442\u043e\u043c \u0432 SAST\/SCA\/DAST, CI\/CD security \u0438 vulnerability triage. \u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 product teams, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u043b scanners \u0432 pipeline, \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b rules \u0438 \u043f\u043e\u043c\u043e\u0433\u0430\u043b \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0434\u043e\u0432\u043e\u0434\u0438\u0442\u044c findings \u0434\u043e fixes. \u041c\u043d\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b \u0440\u043e\u043b\u0438, \u0433\u0434\u0435 \u043d\u0443\u0436\u043d\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c tooling, \u0430 \u0441\u0434\u0435\u043b\u0430\u0442\u044c security checks usable \u0434\u043b\u044f engineering: \u043c\u0435\u043d\u044c\u0448\u0435 \u0448\u0443\u043c\u0430, \u0431\u044b\u0441\u0442\u0440\u0435\u0435 feedback, \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0439 ownership \u0438 \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u044b\u0435 \u043e\u0442\u0447\u0451\u0442\u044b.<\/p>\n<\/blockquote>\n<p>\u0417\u0434\u0435\u0441\u044c \u0435\u0441\u0442\u044c \u0432\u0441\u0435 \u0441\u043e\u0431\u0440\u0430\u043d\u043e \u0432 \u043e\u0434\u0438\u043d \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b\u0439 \u0444\u043b\u043e\u0443:<\/p>\n<ul>\n<li>\n<p>\u0440\u043e\u043b\u044c;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f;<\/p>\n<\/li>\n<li>\n<p>stack;<\/p>\n<\/li>\n<li>\n<p>\u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442;<\/p>\n<\/li>\n<li>\n<p>value;<\/p>\n<\/li>\n<li>\n<p>\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u0432\u0438\u0442\u0438\u044f.<\/p>\n<\/li>\n<\/ul>\n<p>\u0411\u0435\u0437 \u043b\u0438\u0448\u043d\u0435\u0433\u043e \u043f\u0430\u0444\u043e\u0441\u0430. \u041f\u043e \u0434\u0435\u043b\u0443. \u041a\u043e\u0440\u043e\u0442\u043a\u043e. \u0413\u0440\u0430\u043c\u043e\u0442\u043d\u044b\u0439 HR \u0438\u043b\u0438 \u041b\u0438\u0434 \u0442\u0435\u0431\u044f \u043f\u043e\u0439\u043c\u0435\u0442.<\/p>\n<hr\/>\n<h2>\u0422\u0438\u043f\u0438\u0447\u043d\u044b\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 \u0440\u0443\u0441\u0441\u043a\u043e\u044f\u0437\u044b\u0447\u043d\u044b\u0445 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u043e\u0432<\/h2>\n<h3>1. \u0421\u043b\u0438\u0448\u043a\u043e\u043c \u0441\u043a\u0440\u043e\u043c\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430<\/h3>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u041d\u0443 \u044f \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u043e\u043c\u043e\u0433\u0430\u043b \u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<blockquote>\n<p>I triaged vulnerability findings, mapped ownership and helped reduce aging critical backlog.<\/p>\n<\/blockquote>\n<p>\u041d\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u0438\u043d\u0438\u0436\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u0432\u043a\u043b\u0430\u0434. \u0415\u0441\u043b\u0438 \u0442\u044b \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0434\u0435\u043b\u0430\u043b \u0440\u0443\u043a\u0430\u043c\u0438 \u2014 \u0433\u043e\u0432\u043e\u0440\u0438 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u043e.<\/p>\n<h3>2. \u0421\u043b\u0438\u0448\u043a\u043e\u043c \u043c\u043d\u043e\u0433\u043e \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0435\u0442\u0430\u043b\u0435\u0439 \u0431\u0435\u0437 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430<\/h3>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>10 \u043c\u0438\u043d\u0443\u0442 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u043f\u0440\u043e flags, YAML \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 scanner.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<p>\u0421\u043d\u0430\u0447\u0430\u043b\u0430 \u0440\u0438\u0441\u043a \u0438 \u0437\u0430\u0434\u0430\u0447\u0430. \u041f\u043e\u0442\u043e\u043c \u0434\u0435\u0442\u0430\u043b\u0438, \u0435\u0441\u043b\u0438 interviewer \u043f\u043e\u043f\u0440\u043e\u0441\u0438\u0442.<\/p>\n<p>\u041f\u0440\u0438\u043d\u0446\u0438\u043f:<\/p>\n<blockquote>\n<p>Summary first, depth on demand.<\/p>\n<\/blockquote>\n<h3>3. \u201c\u041c\u044b\u201d \u0432\u043c\u0435\u0441\u0442\u043e \u201c\u044f\u201d<\/h3>\n<p>\u0415\u0441\u043b\u0438 \u0432\u0441\u0451 \u0432\u0440\u0435\u043c\u044f \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u201c\u043c\u044b\u201d, \u043d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0433\u0434\u0435 \u0442\u0432\u043e\u0439 \u0432\u043a\u043b\u0430\u0434.<\/p>\n<p>\u041d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0430:<\/p>\n<ul>\n<li>\n<p>team achieved;<\/p>\n<\/li>\n<li>\n<p>I owned;<\/p>\n<\/li>\n<li>\n<p>I implemented;<\/p>\n<\/li>\n<li>\n<p>I automated;<\/p>\n<\/li>\n<li>\n<p>I validated;<\/p>\n<\/li>\n<li>\n<p>I supported remediation.<\/p>\n<\/li>\n<\/ul>\n<h3>4. \u0411\u043e\u044f\u0437\u043d\u044c \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0445 \u0446\u0438\u0444\u0440, \u043c\u0435\u0442\u0440\u0438\u043a, \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u0435\u0439<\/h3>\n<p>\u0411\u0435\u0437 \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0430 \u0432\u0441\u0451 \u0437\u0432\u0443\u0447\u0438\u0442 \u043c\u0430\u043b\u0435\u043d\u044c\u043a\u0438\u043c.<\/p>\n<p>\u041c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d\u044b:<\/p>\n<ul>\n<li>\n<p>20+ repos;<\/p>\n<\/li>\n<li>\n<p>multiple product teams;<\/p>\n<\/li>\n<li>\n<p>100+ monthly findings;<\/p>\n<\/li>\n<li>\n<p>selected product line;<\/p>\n<\/li>\n<li>\n<p>external-facing services.<\/p>\n<\/li>\n<\/ul>\n<h3>5. \u041d\u0435\u0433\u0430\u0442\u0438\u0432 \u043e \u043f\u0440\u043e\u0448\u043b\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0435<\/h3>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>\u0422\u0430\u043c \u0432\u0441\u0451 \u0431\u044b\u043b\u043e \u043f\u043b\u043e\u0445\u043e, \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043f\u043e\u043d\u0438\u043c\u0430\u043b\u0438.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<blockquote>\n<p>There was friction because scanner findings were noisy, so I focused on false positive reduction, severity policy and making reports actionable for developers.<\/p>\n<\/blockquote>\n<p>\u042d\u0442\u043e \u0432\u0437\u0440\u043e\u0441\u043b\u0430\u044f \u043f\u043e\u0437\u0438\u0446\u0438\u044f. \u041d\u0435 \u0433\u043e\u0432\u043e\u0440\u0438 \u043f\u043b\u043e\u0445\u043e, \u0433\u043e\u0432\u043e\u0440\u0438 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e. \u041f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0439 \u0447\u0442\u043e \u0442\u044b \u0440\u0430\u0437\u0432\u0438\u0432\u0430\u0435\u0448\u044c\u0441\u044f, \u0447\u0442\u043e \u0438\u0437 \u043b\u044e\u0431\u043e\u0439 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u0438 \u043d\u0430\u0445\u043e\u0434\u0438\u0448\u044c \u0432\u044b\u0445\u043e\u0434. \u0420\u0430\u0441\u0442\u0435\u0448\u044c \u0441\u0430\u043c, \u0442\u0430\u043c \u0433\u0434\u0435 \u0431\u043e\u043b\u044c\\\u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 &#8212; \u0442\u043e\u0447\u043a\u0430 \u0440\u043e\u0441\u0442\u0430, \u0430 \u043d\u0435 \u0434\u0435\u043f\u0440\u0435\u0441\u0441\u0438\u0438! \u041f\u0440\u043e\u0448\u043b\u044b\u0435 \u043f\u0440\u043e\u0432\u0430\u043b\u044b\\\u043d\u0435\u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u0434\u0430\u043b\u0438 \u0438\u043c\u043f\u0443\u043b\u044c\u0441 \u043a \u0440\u0430\u0437\u0432\u0438\u0442\u0438\u044e.<\/p>\n<h3>6. CV \u043a\u0430\u043a \u0441\u043f\u0438\u0441\u043e\u043a \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0439<\/h3>\n<p>\u041f\u043b\u043e\u0445\u043e:<\/p>\n<blockquote>\n<p>Burp, Nmap, Nessus, GitLab, Docker, Kubernetes, AWS, Python.<\/p>\n<\/blockquote>\n<p>\u041b\u0443\u0447\u0448\u0435:<\/p>\n<blockquote>\n<p>Performed web\/API testing with Burp Suite, validated auth\/session issues and supported remediation through retest.<\/p>\n<\/blockquote>\n<hr\/>\n<figure class=\"full-width \"><img decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d29\/472\/b37\/d29472b37d15a2d71090b83599029a1b.png\" width=\"1672\" height=\"941\" sizes=\"auto, (max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/habrastorage.org\/r\/w780\/getpro\/habr\/upload_files\/d29\/472\/b37\/d29472b37d15a2d71090b83599029a1b.png 780w,&#10;       https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d29\/472\/b37\/d29472b37d15a2d71090b83599029a1b.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<h2>\u041a\u0430\u043a\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u0437\u0430\u0434\u0430\u0432\u0430\u0442\u044c hiring manager<\/h2>\n<p>\u0425\u043e\u0440\u043e\u0448\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u0442\u0432\u043e\u044e \u0437\u0440\u0435\u043b\u043e\u0441\u0442\u044c, \u043c\u043e\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0441\u0442\u044c. \u041d\u0435 \u0437\u0430\u0434\u0430\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441, \u0441\u043a\u0430\u0437\u0430\u0442\u044c \u0447\u0442\u043e \u0432\u0441\u0435 \u043f\u043e\u043d\u044f\u0442\u043d\u043e \u0438\u043b\u0438 \u0442\u044b \u0432\u0441\u0435 \u0443\u0436\u0435 \u0437\u043d\u0430\u0435\u0448\u044c  \u043e \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438\\\u0440\u0430\u0431\u043e\u0442\u0435 &#8212; \u0432 90% \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u043c\u0430\u0445\u043e\u043c. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043e\u0447\u0435\u043d\u044c \u0445\u043e\u0440\u043e\u0448\u043e \u0431\u0443\u0434\u0443\u0442 \u0437\u0432\u0443\u0447\u0430\u0442\u044c \u0442\u0430\u043a\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b:<\/p>\n<ul>\n<li>\n<p>\u041a\u0430\u043a \u0441\u0435\u0439\u0447\u0430\u0441 \u0443\u0441\u0442\u0440\u043e\u0435\u043d vulnerability triage \u0438 \u043a\u0442\u043e \u0432\u043b\u0430\u0434\u0435\u0435\u0442 remediation?<\/p>\n<\/li>\n<li>\n<p>\u041a\u0430\u043a\u0438\u0435 security checks \u0443\u0436\u0435 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u044b \u0432 CI\/CD, \u0430 \u0433\u0434\u0435 \u0435\u0449\u0451 gaps?<\/p>\n<\/li>\n<li>\n<p>\u0427\u0442\u043e \u0431\u0443\u0434\u0435\u0442 \u0441\u0447\u0438\u0442\u0430\u0442\u044c\u0441\u044f \u0443\u0441\u043f\u0435\u0448\u043d\u044b\u043c \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u043c \u0447\u0435\u0440\u0435\u0437 \u043f\u0435\u0440\u0432\u044b\u0435 90 \u0434\u043d\u0435\u0439?<\/p>\n<\/li>\n<li>\n<p>\u0421\u043a\u043e\u043b\u044c\u043a\u043e product teams \/ repos \/ services \u0432\u0445\u043e\u0434\u0438\u0442 \u0432 scope \u0440\u043e\u043b\u0438?<\/p>\n<\/li>\n<li>\n<p>\u041a\u0430\u043a \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u0438\u0437\u043c\u0435\u0440\u044f\u0435\u0442 false positives, SLA \u0438 developer adoption?<\/p>\n<\/li>\n<li>\n<p>\u041a\u0430\u043a\u043e\u0439 \u0431\u0430\u043b\u0430\u043d\u0441 \u043c\u0435\u0436\u0434\u0443 manual review, automation \u0438 developer enablement?<\/p>\n<\/li>\n<li>\n<p>\u041a\u0430\u043a\u0438\u0435 security issues \u0441\u0435\u0439\u0447\u0430\u0441 \u0431\u043e\u043b\u044f\u0442 \u0441\u0438\u043b\u044c\u043d\u0435\u0435 \u0432\u0441\u0435\u0433\u043e?<\/p>\n<\/li>\n<\/ul>\n<p>\u0422\u0430\u043a\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442, \u0447\u0442\u043e \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442 \u0434\u0443\u043c\u0430\u0435\u0442 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u201c\u043a\u0430\u043a\u0438\u0435 \u0442\u0443\u043b\u0437\u044b \u0434\u0430\u0434\u0443\u0442\u201d, \u0430 \u201c\u043a\u0430\u043a\u0443\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 \u043d\u0443\u0436\u043d\u043e \u0440\u0435\u0448\u0438\u0442\u044c\u201d. \u042d\u0442\u043e \u0443\u0436\u0435 problem-solved \u043f\u043e\u0434\u0445\u043e\u0434, \u0438 \u043e\u043d \u0446\u0435\u043d\u0438\u0442\u0441\u044f, \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u043d\u0430 \u043f\u043e\u0437\u0438\u0446\u0438\u044f\u0445 senior.<\/p>\n<h2>\u041f\u0440\u043e \u0434\u0435\u043d\u044c\u0433\u0438: \u043a\u0430\u043a \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u0431\u0435\u0437 \u0437\u0430\u0436\u0430\u0442\u043e\u0441\u0442\u0438 \u0438 \u0430\u0433\u0440\u0435\u0441\u0441\u0438\u0438<\/h2>\n<p>\u0420\u0430\u0437\u0433\u043e\u0432\u043e\u0440 \u043e compensation \u0447\u0430\u0441\u0442\u043e \u043b\u043e\u043c\u0430\u0435\u0442 \u0441\u0438\u043b\u044c\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u043e\u0432. \u041e\u0434\u043d\u0430 \u043a\u0440\u0430\u0439\u043d\u043e\u0441\u0442\u044c \u2014 \u043d\u0430\u0437\u0432\u0430\u0442\u044c \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u0443\u044e \u0446\u0438\u0444\u0440\u0443 \u0438\u0437 \u0441\u0442\u0440\u0430\u0445\u0430 \u0438 \u0437\u0430\u0436\u0430\u0442\u044c \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b \u043e\u0444\u0444\u0435\u0440\u0430. \u0414\u0440\u0443\u0433\u0430\u044f \u2014 \u0430\u0433\u0440\u0435\u0441\u0441\u0438\u0432\u043d\u043e \u0442\u043e\u0440\u0433\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0431\u0435\u0437 \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u044f scope \u0440\u043e\u043b\u0438. \u041e\u0431\u0435 \u043a\u0440\u0430\u0439\u043d\u043e\u0441\u0442\u0438 \u0432\u0435\u0434\u0443\u0442 \u0432 \u0442\u0443\u043f\u0438\u043a.<\/p>\n<p>\u0411\u043e\u043b\u0435\u0435 \u0437\u0434\u043e\u0440\u043e\u0432\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0430:<\/p>\n<blockquote>\n<p>Based on the role scope and my hands-on experience with AppSec\/DevSecOps automation, I am targeting a range around X\u2013Y. I am flexible depending on total compensation, remote setup, responsibilities and growth path.<\/p>\n<\/blockquote>\n<p>\u0421\u043c\u044b\u0441\u043b \u043f\u0440\u043e\u0441\u0442\u043e\u0439:<\/p>\n<blockquote>\n<p>\u042f \u043f\u043e\u043d\u0438\u043c\u0430\u044e \u0441\u0432\u043e\u044e \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c, \u0433\u043e\u0442\u043e\u0432 \u043e\u0431\u0441\u0443\u0436\u0434\u0430\u0442\u044c \u0435\u0451 \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u0440\u043e\u043b\u0438. \u042f \u043c\u043e\u0433\u0443 \u043f\u0440\u0438\u043d\u044f\u0442\u044c \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0438\u0441\u0441\u044b \u0438\u043b\u0438 \u043f\u043e\u0439\u0442\u0438 \u043d\u0430 \u0443\u0441\u0442\u0443\u043f\u043a\u0443 \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u044f \u0441\u0432\u043e\u0439 \u0432\u043a\u043b\u0430\u0434 \u0438 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b \u043f\u0440\u043e\u0435\u043a\u0442\u0430.<\/p>\n<\/blockquote>\n<p>\u041d\u0435 \u201c\u0432\u043e\u0437\u044c\u043c\u0438\u0442\u0435 \u043c\u0435\u043d\u044f, \u043f\u043e\u0436\u0430\u043b\u0443\u0439\u0441\u0442\u0430\u201d. \u0418 \u043d\u0435 \u201c\u044f \u0437\u0432\u0435\u0437\u0434\u0430, \u043f\u043b\u0430\u0442\u0438\u0442\u0435 \u043c\u0430\u043a\u0441\u0438\u043c\u0443\u043c\u201d. \u0410 \u0441\u043f\u043e\u043a\u043e\u0439\u043d\u0430\u044f \u043f\u0440\u043e\u0444\u0435\u0441\u0441\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u0430\u044f \u043f\u043e\u0437\u0438\u0446\u0438\u044f. <strong>\u042d\u0422\u041e \u041e\u0427\u0415\u041d\u042c \u0412\u0410\u0416\u041d\u041e!<\/strong><\/p>\n<h2>\u0424\u0438\u043d\u0430\u043b\u044c\u043d\u044b\u0439 \u0447\u0435\u043a\u043b\u0438\u0441\u0442<\/h2>\n<p>\u041f\u0435\u0440\u0435\u0434 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u043e\u0439 CV \u0438\u043b\u0438 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0439\u0442\u0438 \u043a\u043e\u0440\u043e\u0442\u043a\u0443\u044e \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443:<\/p>\n<ul>\n<li>\n<p>\u042f \u043c\u043e\u0433\u0443 \u043e\u0431\u044a\u044f\u0441\u043d\u0438\u0442\u044c \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u0437\u0430 45 \u0441\u0435\u043a\u0443\u043d\u0434 \u0431\u0435\u0437 \u0432\u043e\u0434\u044b.<\/p>\n<\/li>\n<li>\n<p>\u0412 CV \u0432\u0438\u0434\u043d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e tools, \u043d\u043e \u0438 scope.<\/p>\n<\/li>\n<li>\n<p>\u0423 \u043c\u0435\u043d\u044f \u0435\u0441\u0442\u044c \u043c\u0438\u043d\u0438\u043c\u0443\u043c 5 STAR stories \u043f\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u043c technical tasks.<\/p>\n<\/li>\n<li>\n<p>\u042f \u0443\u043c\u0435\u044e \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u201c\u044f \u0441\u0434\u0435\u043b\u0430\u043b\u201d \u0442\u0430\u043c, \u0433\u0434\u0435 \u044d\u0442\u043e \u043c\u043e\u0439 \u0432\u043a\u043b\u0430\u0434.<\/p>\n<\/li>\n<li>\n<p>\u042f \u043d\u0435 \u043f\u0440\u0435\u0443\u0432\u0435\u043b\u0438\u0447\u0438\u0432\u0430\u044e \u043e\u043f\u044b\u0442, \u043d\u043e \u0438 \u043d\u0435 \u043e\u0431\u0435\u0441\u0446\u0435\u043d\u0438\u0432\u0430\u044e \u0441\u0435\u0431\u044f.<\/p>\n<\/li>\n<li>\n<p>\u042f \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u044e automation, triage, validation, documentation \u0438 collaboration with dev teams.<\/p>\n<\/li>\n<li>\n<p>\u042f \u043c\u043e\u0433\u0443 \u043e\u0431\u044a\u044f\u0441\u043d\u0438\u0442\u044c, \u0447\u0435\u043c \u043c\u043e\u044f \u0440\u0430\u0431\u043e\u0442\u0430 \u0441\u043d\u0438\u0436\u0430\u043b\u0430 risk, \u0443\u0441\u043a\u043e\u0440\u044f\u043b\u0430 feedback loop \u0438\u043b\u0438 \u0443\u043b\u0443\u0447\u0448\u0430\u043b\u0430 coverage.<\/p>\n<\/li>\n<li>\n<p>\u0423 \u043c\u0435\u043d\u044f \u0435\u0441\u0442\u044c \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u043a \u0440\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044e.<\/p>\n<\/li>\n<li>\n<p>\u042f \u0437\u043d\u0430\u044e \u0441\u0432\u043e\u0439 salary range.<\/p>\n<\/li>\n<li>\n<p>\u042f \u043d\u0435 \u043d\u0430\u0437\u044b\u0432\u0430\u044e \u0441\u0430\u043c\u0443\u044e \u043d\u0438\u0437\u043a\u0443\u044e \u0446\u0438\u0444\u0440\u0443 \u0438\u0437 \u0441\u0442\u0440\u0430\u0445\u0430.<\/p>\n<\/li>\n<\/ul>\n<h2>\u041f\u043e\u043b\u0435\u0437\u043d\u044b\u0435 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0434\u043b\u044f \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430<\/h2>\n<p>\u0415\u0441\u043b\u0438 \u0443\u0436\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0441 application security, vulnerability management \u0438\u043b\u0438 DevSecOps, \u043f\u043e\u043b\u0435\u0437\u043d\u043e \u0434\u0435\u0440\u0436\u0430\u0442\u044c \u043f\u043e\u0434 \u0440\u0443\u043a\u043e\u0439:<\/p>\n<ul>\n<li>\n<p>OWASP ASVS;<\/p>\n<\/li>\n<li>\n<p>OWASP Top 10;<\/p>\n<\/li>\n<li>\n<p>CISA Known Exploited Vulnerabilities Catalog;<\/p>\n<\/li>\n<li>\n<p>FIRST EPSS;<\/p>\n<\/li>\n<li>\n<p>NIST Secure Software Development Framework.<\/p>\n<\/li>\n<\/ul>\n<p>\u042d\u0442\u043e \u043d\u0435 \u201c\u043c\u0430\u0433\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0441\u043f\u0438\u0441\u043a\u0438\u201d, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u044e\u0442 \u043c\u044b\u0448\u043b\u0435\u043d\u0438\u0435. \u041d\u043e \u043e\u043d\u0438 \u043f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u0441 \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c\u0438 \u043d\u0430 \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u043d\u044f\u0442\u043d\u043e\u043c \u044f\u0437\u044b\u043a\u0435: risk, exploitability, exposure, controls, verification, remediation priority.<\/p>\n<hr\/>\n<h2>\u0427\u0442\u043e \u043f\u043e \u0438\u0442\u043e\u0433\u0443<\/h2>\n<p>\u041c\u043e\u0436\u043d\u043e \u043e\u0441\u0442\u0430\u0432\u0430\u0442\u044c\u0441\u044f hands-on \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u043e\u043c. \u041c\u043e\u0436\u043d\u043e \u043f\u0438\u0441\u0430\u0442\u044c \u0441\u043a\u0440\u0438\u043f\u0442\u044b, \u0433\u043e\u043d\u044f\u0442\u044c scanners, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c API, \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c findings, \u0447\u0438\u043d\u0438\u0442\u044c CI\/CD, \u0434\u0435\u043b\u0430\u0442\u044c retest \u0438 \u043f\u043e\u043c\u043e\u0433\u0430\u0442\u044c \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c. \u041d\u0435 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c\u0441\u044f \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u043e\u043c, \u0447\u0442\u043e\u0431\u044b \u0442\u0432\u043e\u0439 \u043e\u043f\u044b\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u043b \u0441\u0438\u043b\u044c\u043d\u0435\u0435. \u041d\u043e \u043d\u0443\u0436\u043d\u043e \u0443\u043c\u0435\u0442\u044c \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c technical output \u0442\u0430\u043a, \u0447\u0442\u043e\u0431\u044b \u0431\u044b\u043b\u043e \u0432\u0438\u0434\u043d\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u201c\u0435\u0449\u0451 \u043e\u0434\u043d\u043e\u0433\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0430 \u0441\u043e \u0441\u043f\u0438\u0441\u043a\u043e\u043c \u0442\u0443\u043b\u0437\u043e\u0432\u201d, \u0430 \u0438\u043d\u0436\u0435\u043d\u0435\u0440\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439:<\/p>\n<ul>\n<li>\n<p>\u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0435 security gaps;<\/p>\n<\/li>\n<li>\n<p>\u0434\u0435\u043b\u0430\u0435\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u043c\u044b\u043c\u0438;<\/p>\n<\/li>\n<li>\n<p>\u0441\u043d\u0438\u0436\u0430\u0435\u0442 \u0448\u0443\u043c;<\/p>\n<\/li>\n<li>\n<p>\u0443\u0441\u043a\u043e\u0440\u044f\u0435\u0442 feedback;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u043c\u043e\u0433\u0430\u0435\u0442 \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c \u0447\u0438\u043d\u0438\u0442\u044c \u0432\u0430\u0436\u043d\u043e\u0435;<\/p>\n<\/li>\n<li>\n<p>\u043f\u043e\u043d\u0438\u043c\u0430\u0435\u0442 risk, scope \u0438 impact.<\/p>\n<\/li>\n<\/ul>\n<p>\u0425\u043e\u0440\u043e\u0448\u0430\u044f \u0443\u043f\u0430\u043a\u043e\u0432\u043a\u0430 \u043e\u043f\u044b\u0442\u0430 \u2014 \u044d\u0442\u043e \u043d\u0435 \u0441\u0430\u043c\u043e\u043f\u0438\u0430\u0440 \u0438 \u043d\u0435 \u043f\u0440\u0435\u0443\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u0438\u0435. \u042d\u0442\u043e \u0441\u043f\u043e\u0441\u043e\u0431 \u0447\u0435\u0441\u0442\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c, \u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u0442\u044b \u0443\u043c\u0435\u0435\u0448\u044c \u0434\u0435\u043b\u0430\u0442\u044c, \u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435 \u0438 \u043a\u0430\u043a\u043e\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u043f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u043e\u0441\u0442\u0430\u0451\u0442\u0441\u044f.<\/p>\n<p>\u0415\u0441\u043b\u0438 \u0442\u0435\u043c\u0430 \u0431\u0443\u0434\u0435\u0442 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u0430, \u0432 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043e\u0431\u0435\u0437\u043b\u0438\u0447\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0438\u043c\u0435\u0440\u043e\u0432 CV bullets \u0434\u043b\u044f AppSec \/ DevSecOps \/ Cloud Security \u0440\u043e\u043b\u0435\u0439: \u0447\u0442\u043e \u0432 \u043d\u0438\u0445 \u0441\u043b\u0430\u0431\u043e\u0435, \u043a\u0430\u043a \u0438\u0445 \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u0430\u0442\u044c \u0438 \u043a\u0430\u043a\u0438\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b \u043f\u043e \u043d\u0438\u043c \u043c\u043e\u0433\u0443\u0442 \u0437\u0430\u0434\u0430\u0442\u044c \u043d\u0430 technical interview. \u0418 \u043a\u043e\u043c\u0443 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e, \u043f\u043e\u0434\u043f\u0438\u0441\u044b\u0432\u0430\u0439\u0442\u0435\u0441\u044c \u043d\u0430 \u043c\u043e\u0439 \u0422\u0413 \u043a\u0430\u043d\u0430\u043b White2Hack, \u0442\u0430\u043c \u044f \u0432\u044b\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u044e \u043c\u043d\u043e\u0433\u043e \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439, \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0438 \u043f\u043e\u043b\u0435\u0437\u043d\u044b\u0445 \u043d\u0438\u0448\u0442\u044f\u043a\u043e\u0432!<\/p>\n<\/div>\n<p>\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/1039152\/\">https:\/\/habr.com\/ru\/articles\/1039152\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u041c\u043d\u043e\u0433\u0438\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u044b \u0432 \u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u043c\u0435\u044e\u0442 \u0434\u0435\u043b\u0430\u0442\u044c \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u0443\u044e hands-on \u0440\u0430\u0431\u043e\u0442\u0443: \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c findings, \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0442\u044c SAST\/SCA\/DAST, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c API, \u043a\u043e\u0432\u044b\u0440\u044f\u0442\u044c CI\/CD, \u043f\u0438\u0441\u0430\u0442\u044c \u0441\u043a\u0440\u0438\u043f\u0442\u044b, \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0442\u044c cloud misconfigurations, \u043f\u043e\u043c\u043e\u0433\u0430\u0442\u044c \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0438\u0442.\u0434. \u041d\u043e \u043f\u0440\u0438 \u043f\u043e\u0438\u0441\u043a\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u0442\u0430\u043a\u043e\u0439 \u043e\u043f\u044b\u0442 (\u0430, \u0442\u043e\u0447\u043d\u0435\u0435 \u0435\u0433\u043e \u043f\u043e\u0434\u0430\u0447\u0430, \u0443\u043f\u0430\u043a\u043e\u0432\u043a\u0430) \u0447\u0430\u0441\u0442\u043e \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u0441\u043b\u0430\u0431\u043e.\u0412 \u0440\u0435\u0437\u044e\u043c\u0435 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u0442\u0441\u044f \u0447\u0442\u043e-\u0442\u043e \u0432\u0440\u043e\u0434\u0435 \u044d\u0442\u043e\u0433\u043e \u043c\u0438\u043a\u0441\u0430:\u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp Suite, SAST, SCA, SIEM, Kubernetes, AWS.\u0417\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439.\u0423\u0447\u0430\u0441\u0442\u0432\u043e\u0432\u0430\u043b \u0432 DevSecOps-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u0445.\u041f\u043e\u043c\u043e\u0433\u0430\u043b \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c \u0438\u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0431\u0430\u0433\u0438.\u0424\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e \u0432\u0441\u0435 \u043f\u0440\u0430\u0432\u0434\u0430, \u0434\u0430, \u043d\u0435 \u043f\u043e\u0434\u043a\u043e\u043f\u0430\u0442\u044c\u0441\u044f. \u041d\u043e hiring manager \u0438\u043b\u0438 technical interviewer \u0432\u0438\u0434\u0438\u0442 \u043d\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442, \u0430 \u043d\u0430\u0431\u043e\u0440 \u043e\u0431\u0449\u0438\u0445 \u0441\u043b\u043e\u0432 (\u0438 \u0437\u0430\u0447\u0430\u0441\u0442\u0443\u044e \u0435\u043c\u0443 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0445). \u041e\u0442\u0441\u044e\u0434\u0430 \u0442\u0435\u0431\u044f \u043c\u0435\u043d\u044c\u0448\u0435 \u0437\u0430\u043c\u0435\u0447\u0430\u044e\u0442 \u043d\u0430 job board, \u043c\u0435\u043d\u044c\u0448\u0435 \u043a\u043e\u043d\u0432\u0435\u0440\u0441\u0438\u044f \u0430\u043f\u043b\u0438\u043a\u0435\u0439\u0448\u0438\u043d\u043e\u0432 \u043f\u043e\u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u043f\u043e\u0437\u0438\u0446\u0438\u0438, \u0438 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0445 \u0441\u043e\u0431\u0435\u0441\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0439, \u043d\u0443, \u0438 \u043f\u043e \u0438\u0442\u043e\u0433\u0443 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u0440\u043e\u0438\u0433\u0440\u044b\u0448 \u0432 \u0446\u0435\u043d\u0435 \u043e\u0444\u0444\u0435\u0440\u0430.\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430 \u043d\u0435 \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043d\u0435 \u0432\u0430\u0436\u043d\u044b. \u0412\u0430\u0436\u043d\u044b, \u043e\u0447\u0435\u043d\u044c \u0434\u0430\u0436\u0435 (\u0442\u0432\u043e\u0439 \u0442\u0438\u043c\u043b\u0438\u0434 \u043e\u0446\u0435\u043d\u0438\u0442). \u041d\u043e \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0441\u0430\u043c \u043f\u043e \u0441\u0435\u0431\u0435 \u043d\u0435 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442, \u043a\u0430\u043a\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0440\u0435\u0448\u0430\u043b, \u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435, \u043d\u0430\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0438 \u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u0441\u043b\u0435 \u0435\u0433\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439.\u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c, \u043a\u0430\u043a hands-on \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0441\u0442\u0443 \u0432 AppSec, DevSecOps, pentest, vulnerability management, cloud security \u0438\u043b\u0438 SOC \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u043e\u043f\u044b\u0442 \u0442\u0430\u043a, \u0447\u0442\u043e\u0431\u044b \u0431\u044b\u043b\u043e \u0432\u0438\u0434\u043d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u201c\u044f \u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0441 \u0442\u0443\u043b\u0437\u0430\u043c\u0438\u201d, \u0430 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0439 technical output.\u041a\u043e\u0440\u043e\u0442\u043a\u043e: \u043e \u0447\u0451\u043c \u0441\u0442\u0430\u0442\u044c\u044f\u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c:\u043f\u043e\u0447\u0435\u043c\u0443 \u201c\u0440\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp \/ SAST \/ Kubernetes\u201d \u0437\u0432\u0443\u0447\u0438\u0442 \u0441\u043b\u0430\u0431\u0435\u0435, \u0447\u0435\u043c \u043a\u0430\u0436\u0435\u0442\u0441\u044f;\u043a\u0430\u043a\u0438\u0435 5 \u0441\u043b\u043e\u0435\u0432 \u043e\u043f\u044b\u0442\u0430 \u0441\u0442\u043e\u0438\u0442 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0432 CV \u0438 \u043d\u0430 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e;\u043a\u0430\u043a \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442\u044c \u043e\u0431\u044b\u0447\u043d\u044b\u0435 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0437\u0430\u0434\u0430\u0447\u0438 \u0432 \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0439 (\u0431\u0438\u0437\u043d\u0435\u0441) \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442;\u043a\u0430\u043a \u043f\u0435\u0440\u0435\u043f\u0438\u0441\u044b\u0432\u0430\u0442\u044c \u0441\u043b\u0430\u0431\u044b\u0435 CV bullets;\u043a\u0430\u043a\u0438\u0435 \u043c\u0435\u0442\u0440\u0438\u043a\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0431\u0435\u0437 \u0432\u044b\u0434\u0443\u043c\u0430\u043d\u043d\u043e\u0433\u043e impact;\u043a\u0430\u043a \u0433\u043e\u0442\u043e\u0432\u0438\u0442\u044c \u043b\u0438\u0447\u043d\u044b\u0435 STAR stories \u0434\u043b\u044f technical interview;\u043a\u0430\u043a \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e \u0441\u0432\u043e\u0451\u043c \u043e\u043f\u044b\u0442\u0435 \u0431\u0435\u0437 \u0432\u043e\u0434\u044b, \u043f\u0430\u0444\u043e\u0441\u0430 \u0438 \u0441\u0430\u043c\u043e\u043e\u0431\u043c\u0430\u043d\u0430.\u041f\u043e\u0447\u0435\u043c\u0443 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043d\u0435 \u043f\u0440\u043e\u0434\u0430\u0451\u0442 \u043e\u043f\u044b\u0442\u041e\u0434\u043d\u0430 \u0438\u0437 \u0447\u0430\u0441\u0442\u044b\u0445 \u043e\u0448\u0438\u0431\u043e\u043a \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u043e\u0432 \u2014 \u0441\u0447\u0438\u0442\u0430\u0442\u044c, \u0447\u0442\u043e \u0441\u0430\u043c \u0444\u0430\u043a\u0442 \u0432\u043b\u0430\u0434\u0435\u043d\u0438\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c \u0443\u0436\u0435 \u043e\u0431\u044a\u044f\u0441\u043d\u044f\u0435\u0442 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u043e\u043f\u044b\u0442\u0430.\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440:Burp Suite, Nmap, Nessus, GitLab CI, Docker, Kubernetes, AWS, Python.\u0414\u043b\u044f \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0430 \u044d\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e: \u0441\u0442\u0435\u043a \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d, \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u0441\u043b\u043e\u0432\u0430 \u0435\u0441\u0442\u044c. \u041d\u043e \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0440\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044f \u0442\u0430\u043a\u043e\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043e\u0434\u0438\u043d \u0432\u043e\u043f\u0440\u043e\u0441: \u0441 \u0447\u0435\u043c \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0441\u0442\u0430\u043b\u043a\u0438\u0432\u0430\u043b\u0441\u044f.\u041e\u043d \u043d\u0435 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442 \u043d\u0430 \u0431\u043e\u043b\u0435\u0435 \u0432\u0430\u0436\u043d\u044b\u0435 \u0432\u043e\u043f\u0440\u043e\u0441\u044b:\u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0434\u0435\u043b\u0430\u043b;\u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435;\u043a\u0430\u043a\u0438\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0440\u0435\u0448\u0430\u043b;\u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u0441\u043b\u0435 \u0435\u0433\u043e \u0440\u0430\u0431\u043e\u0442\u044b;\u043c\u043e\u0436\u043d\u043e \u043b\u0438 \u0435\u043c\u0443 \u0434\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u0443\u0447\u0430\u0441\u0442\u043e\u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0431\u0435\u0437 \u043f\u043e\u0441\u0442\u043e\u044f\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f;\u0443\u043c\u0435\u0435\u0442 \u043b\u0438 \u043e\u043d \u043e\u0431\u0449\u0430\u0442\u044c\u0441\u044f \u0441 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430\u043c\u0438, DevOps, product teams;\u043f\u043e\u043d\u0438\u043c\u0430\u0435\u0442 \u043b\u0438 \u043e\u043d \u0440\u0438\u0441\u043a, \u0430 \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e output \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.\u0420\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044c \u0440\u0435\u0434\u043a\u043e \u0438\u0449\u0435\u0442 \u043f\u0440\u043e\u0441\u0442\u043e \u201c\u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u043b SAST\u201d. \u0427\u0430\u0449\u0435 \u0435\u043c\u0443 \u043d\u0443\u0436\u0435\u043d \u0447\u0435\u043b\u043e\u0432\u0435\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u0435\u0442:\u0432\u0441\u0442\u0440\u043e\u0438\u0442\u044c SAST\/SCA \u0432 pipeline;\u0441\u043d\u0438\u0437\u0438\u0442\u044c false positives;\u0441\u0434\u0435\u043b\u0430\u0442\u044c findings \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c\u0438 \u0434\u043b\u044f dev teams;\u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c ownership;\u0443\u0441\u043a\u043e\u0440\u0438\u0442\u044c triage;\u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c coverage;\u043d\u0435 \u0441\u043b\u043e\u043c\u0430\u0442\u044c delivery;\u0434\u043e\u0432\u0435\u0441\u0442\u0438 high-risk findings \u0434\u043e validated fix.\u042d\u0442\u043e \u0443\u0436\u0435 \u043d\u0435 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432. \u042d\u0442\u043e technical output. \u0418 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0437\u0434\u0435\u0441\u044c \u043d\u0443\u0436\u043d\u0430 \u0433\u0440\u0430\u043c\u043e\u0442\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430. \u0418 \u0442\u0430\u043a, \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c \u044d\u0442\u043e \u043d\u0430 \u043c\u0438\u043d\u0438 \u043f\u0440\u0438\u043c\u0435\u0440\u0430\u0445 \u043d\u0438\u0436\u0435.\u041f\u043e\u0447\u0435\u043c\u0443 \u201c\u0437\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438\u201d \u0437\u0432\u0443\u0447\u0438\u0442 \u0441\u043b\u0430\u0431\u043e\u0424\u0440\u0430\u0437\u0430:\u0417\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439.\u043c\u043e\u0436\u0435\u0442 \u043e\u0437\u043d\u0430\u0447\u0430\u0442\u044c \u0432\u0441\u0451 \u0447\u0442\u043e \u0443\u0433\u043e\u0434\u043d\u043e. \u041e\u0434\u0438\u043d \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u043f\u0440\u043e\u0441\u0442\u043e \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u043e\u0432\u0430\u043b \u043e\u0442\u0447\u0451\u0442 \u0438\u0437 \u0441\u043a\u0430\u043d\u0435\u0440\u0430.\u0414\u0440\u0443\u0433\u043e\u0439 \u2014 \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u043b 100+ findings \u0432 \u043c\u0435\u0441\u044f\u0446, \u043e\u0442\u0434\u0435\u043b\u044f\u043b exploitable risk \u043e\u0442 \u043c\u0443\u0441\u043e\u0440\u0430, \u043d\u0430\u0437\u043d\u0430\u0447\u0430\u043b ownership, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u043b SLA \u0438 \u043f\u043e\u043c\u043e\u0433\u0430\u043b \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0442\u044c critical\/high backlog.\u041e\u0431\u0430 \u043c\u043e\u0433\u0443\u0442 \u043d\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u201c\u0437\u0430\u043d\u0438\u043c\u0430\u043b\u0441\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438\u201d. \u041d\u043e \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0440\u0430\u0431\u043e\u0442\u044b \u0440\u0430\u0437\u043d\u044b\u0439. \u0422\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430\u043c\u0438:\u0421\u043b\u0430\u0431\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430\u041f\u043e\u0447\u0435\u043c\u0443 \u0441\u043b\u0430\u0431\u0430\u044f\u0420\u0430\u0431\u043e\u0442\u0430\u043b \u0441 Burp Suite\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u043b proxy \u0438\u043b\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u043d\u0430\u0445\u043e\u0434\u0438\u043b auth\/session\/business logic issues\u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b SAST\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: \u0432\u043a\u043b\u044e\u0447\u0438\u043b scanner \u0438\u043b\u0438 \u0434\u043e\u0432\u0451\u043b \u0435\u0433\u043e \u0434\u043e usable state\u0423\u0447\u0430\u0441\u0442\u0432\u043e\u0432\u0430\u043b \u0432 DevSecOps\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: \u043f\u0438\u0441\u0430\u043b YAML, \u043d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b gates, \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b checks \u0438\u043b\u0438 \u043f\u0440\u043e\u0441\u0442\u043e \u0431\u044b\u043b \u043d\u0430 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0445\u041c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043b \u0430\u043b\u0435\u0440\u0442\u044b\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: triage, investigation, tuning, playbooks, escalation?\u041f\u0440\u043e\u0432\u0435\u0440\u044f\u043b \u043e\u0431\u043b\u0430\u043a\u043e\u041d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e: IAM, public exposure, logging, encryption, Kubernetes, Terraform?\u0413\u043b\u0430\u0432\u043d\u044b\u0439 \u0444\u0438\u043b\u044c\u0442\u0440 \u043f\u0440\u043e\u0441\u0442\u043e\u0439:\u0415\u0441\u043b\u0438 bullet \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u0442\u044c \u043f\u043e\u0447\u0442\u0438 \u043a \u043b\u044e\u0431\u043e\u043c\u0443 \u0447\u0435\u043b\u043e\u0432\u0435\u043a\u0443 \u0438\u0437 \u043e\u0442\u0434\u0435\u043b\u0430, \u043e\u043d \u0441\u043b\u0430\u0431\u044b\u0439.\u0427\u0442\u043e \u043d\u0430 \u0441\u0430\u043c\u043e\u043c \u0434\u0435\u043b\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c\u0414\u043b\u044f hands-on security roles \u044f \u0431\u044b \u0440\u0430\u0441\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u043b \u043e\u043f\u044b\u0442 \u043d\u0430 \u043f\u044f\u0442\u044c \u0441\u043b\u043e\u0451\u0432 (\u0434\u0430\u044e \u043f\u043e \u0430\u043d\u043d\u043b\u0438\u0439\u0441\u043a\u0438):Stack \u2014 \u0441 \u0447\u0435\u043c \u0442\u044b \u0440\u0435\u0430\u043b\u044c\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u043b.Scope \u2014 \u0432 \u043a\u0430\u043a\u043e\u043c \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0435.Evidence \u2014 \u0447\u0435\u043c \u044d\u0442\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442\u0441\u044f.Impact \u2014 \u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435.Autonomy \u2014 \u043d\u0430\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0442\u044b \u043c\u043e\u0433 \u0434\u043e\u0432\u0435\u0441\u0442\u0438 \u0437\u0430\u0434\u0430\u0447\u0443 \u0434\u043e \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430.\u0418, \u0442\u0430\u043a, \u0434\u0430\u0432\u0430\u0439 \u0440\u0430\u0437\u0431\u0435\u0440\u0435\u043c \u043a\u0430\u0436\u0434\u044b\u0439 \u0441\u043b\u043e\u0439.1. Stack: \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e tools, \u0430 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u044fStack \u2014 \u044d\u0442\u043e \u043d\u0435 \u0441\u043f\u0438\u0441\u043e\u043a \u0440\u0430\u0434\u0438 \u0441\u043f\u0438\u0441\u043a\u0430.\u041f\u043b\u043e\u0445\u043e:SAST, SCA, DAST, Burp, Docker, Kubernetes, AWS.\u041b\u0443\u0447\u0448\u0435:Integrated SAST\/SCA checks into GitLab CI pipelines, performed manual web\/API testing with Burp Suite, reviewed Kubernetes workload configs for secrets, RBAC and network exposure.\u0412\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0435 \u0432\u0438\u0434\u043d\u043e, \u043a\u0430\u043a \u0438\u043c\u0435\u043d\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b.\u0414\u043b\u044f AppSec \u044d\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c:SAST\/SCA\/DAST;Burp Suite;OWASP ASVS \/ Top 10;API testing;secure code review;threat modeling;secure SDLC.\u0414\u043b\u044f DevSecOps:GitLab CI \/ GitHub Actions \/ Jenkins;secrets detection;IaC scanning;policy-as-code;container scanning;dependency scanning;security gates.\u0414\u043b\u044f vulnerability management:scanner output;asset inventory;SLA;KEV \/ EPSS;exposure;remediation tracking;dashboards.\u0414\u043b\u044f cloud security:IAM;public exposure;CSPM;logging;encryption;Kubernetes;Terraform;least privilege.\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0432\u0430\u0436\u043d\u044b. \u041d\u043e \u043e\u043d\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u0441 \u0437\u0430\u0434\u0430\u0447\u0435\u0439.2. Scope: \u0431\u0435\u0437 \u043c\u0430\u0441\u0448\u0442\u0430\u0431\u0430 \u043e\u043f\u044b\u0442 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u043c\u0435\u043d\u044c\u0448\u0435\u041c\u0430\u0441\u0448\u0442\u0430\u0431 \u2014 \u043e\u0434\u0438\u043d \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u043d\u0435\u0434\u043e\u043e\u0446\u0435\u043d\u0451\u043d\u043d\u044b\u0445 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u0432 \u0432 CV \u0438 \u0438\u043d\u0442\u0435\u0440\u0432\u044c\u044e.\u0421\u0440\u0430\u0432\u043d\u0438\u0442\u0435:\u041d\u0430\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u043b SCA.\u0438:Integrated SCA checks for 30+ repositories and mapped vulnerable dependencies to responsible product teams.\u0412\u043e \u0432\u0442\u043e\u0440\u043e\u043c \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0435 \u043f\u043e\u043d\u044f\u0442\u043d\u0435\u0435 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0437\u0430\u0434\u0430\u0447\u0438.Scope \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c \u0447\u0435\u0440\u0435\u0437:\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e repositories;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e product teams;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e monthly findings;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e endpoints;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e cloud accounts;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e pipelines;\u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e incidents \/ alerts;external-facing assets;selected product line;organization-wide workflow.\u0415\u0441\u043b\u0438 \u0442\u043e\u0447\u043d\u044b\u0435 \u0446\u0438\u0444\u0440\u044b \u043d\u0435\u043b\u044c\u0437\u044f \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0442\u044c, \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0430\u043a\u043a\u0443\u0440\u0430\u0442\u043d\u044b\u0435 \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d\u044b:20+ repositories;multiple product teams;100+ monthly findings;several cloud accounts;selected product line;external-facing services;from manual weekly report to automated dashboard.\u042d\u0442\u043e \u043d\u0435 \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u0435\u0442\u0430\u043b\u0438, \u043d\u043e \u0434\u0430\u0451\u0442 \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u044e \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442.3. Evidence: \u0447\u0435\u043c \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442\u0441\u044f \u0442\u0432\u043e\u0439 \u043e\u043f\u044b\u0442Security \u2014 \u043e\u0431\u043b\u0430\u0441\u0442\u044c, \u0433\u0434\u0435 \u201c\u043f\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043c\u043d\u0435\u201d \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043b\u043e\u0445\u043e.\u0425\u043e\u0440\u043e\u0448\u043e, \u043a\u043e\u0433\u0434\u0430 \u0443 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430 \u0435\u0441\u0442\u044c evidence:sanitized reports;GitHub snippets;pipeline examples;detection rules;dashboards;playbooks;checklists;diagrams;lab writeups;STAR stories;safe screenshots \u0431\u0435\u0437 \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445;\u043f\u0440\u0438\u043c\u0435\u0440\u044b \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u043e\u0442\u0447\u0451\u0442\u043e\u0432;\u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0435 \u0437\u0430\u043c\u0435\u0442\u043a\u0438 \u0438\u043b\u0438 \u0441\u0442\u0430\u0442\u044c\u0438.\u0414\u043b\u044f junior \/ middle \u044d\u0442\u043e \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432\u0430\u0436\u043d\u043e. \u0415\u0441\u043b\u0438 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043e\u043f\u044b\u0442\u0430 \u043c\u0430\u043b\u043e, \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0442\u044c:lab;CTF \/ HTB writeups;parser \u0434\u043b\u044f scanner reports;demo CI policy;\u0447\u0435\u043a\u043b\u0438\u0441\u0442 \u043f\u043e ASVS;\u043f\u0440\u0438\u043c\u0435\u0440 vulnerability report;mini dashboard;automation script;notes \u043f\u043e threat modeling.\u0412\u0430\u0436\u043d\u043e: \u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u0432\u044b\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u0442\u044c \u0440\u0430\u0431\u043e\u0447\u0438\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u044b, PoC, \u0447\u0443\u0436\u043e\u0439 \u043a\u043e\u0434 \u0438\u043b\u0438 \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435. \u041d\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0435 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u044b \u0441\u0438\u043b\u044c\u043d\u043e \u043f\u043e\u043c\u043e\u0433\u0430\u044e\u0442 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c, \u0447\u0442\u043e \u0447\u0435\u043b\u043e\u0432\u0435\u043a \u0443\u043c\u0435\u0435\u0442 \u0434\u0435\u043b\u0430\u0442\u044c \u0440\u0443\u043a\u0430\u043c\u0438, \u0430 \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u044f\u0435\u0442 keywords.4. Impact: \u0447\u0442\u043e \u0441\u0442\u0430\u043b\u043e \u043b\u0443\u0447\u0448\u0435Impact \u2014 \u044d\u0442\u043e \u043d\u0435 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u201c\u0441\u044d\u043a\u043e\u043d\u043e\u043c\u0438\u043b \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 \u043c\u0438\u043b\u043b\u0438\u043e\u043d \u0434\u043e\u043b\u043b\u0430\u0440\u043e\u0432\u201d.\u0412 security \u0447\u0430\u0441\u0442\u043e \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0447\u0435\u0441\u0442\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u0443\u043b\u0443\u0447\u0448\u0435\u043d\u0438\u0435:\u043f\u043e\u0432\u044b\u0441\u0438\u043b coverage;\u0441\u043d\u0438\u0437\u0438\u043b false positives;\u0443\u0441\u043a\u043e\u0440\u0438\u043b triage;\u0441\u0434\u0435\u043b\u0430\u043b ownership \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u043c;\u0441\u043e\u043a\u0440\u0430\u0442\u0438\u043b manual reporting;\u0443\u043b\u0443\u0447\u0448\u0438\u043b visibility;\u043f\u043e\u043c\u043e\u0433 \u0437\u0430\u043a\u0440\u044b\u0442\u044c high-risk findings;\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b workflow;\u0441\u0434\u0435\u043b\u0430\u043b \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443 \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u043c\u043e\u0439;\u0441\u043d\u0438\u0437\u0438\u043b recurring issues.\u041f\u0440\u0438\u043c\u0435\u0440:\u041f\u043b\u043e\u0445\u043e:\u041f\u0438\u0441\u0430\u043b \u043e\u0442\u0447\u0451\u0442\u044b \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u041b\u0443\u0447\u0448\u0435:Prepared actionable security reports with severity, evidence, remediation steps and retest status, helping development teams prioritize fixes.\u0415\u0449\u0451 \u043b\u0443\u0447\u0448\u0435, \u0435\u0441\u043b\u0438 \u0435\u0441\u0442\u044c scope:Prepared actionable security reports for web\/API assessments, including evidence, remediation steps and retest status for high-risk findings before release.\u0417\u0434\u0435\u0441\u044c \u0432\u0438\u0434\u043d\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u201c\u043f\u0438\u0441\u0430\u043b \u043e\u0442\u0447\u0451\u0442\u044b\u201d, \u0430 \u0437\u0430\u0447\u0435\u043c \u043e\u043d\u0438 \u0431\u044b\u043b\u0438 \u043d\u0443\u0436\u043d\u044b. \u042d\u0442\u043e \u0443\u0436\u0435 \u0445\u043e\u0440\u043e\u0448\u0430\u044f, \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u0430\u044f \u043f\u043e\u0434\u0430\u0447\u0430. \u0422\u044b \u043f\u0440\u043e\u0434\u0430\u0435\u0448\u044c \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0440\u0443\u0442\u0438\u043d\u0443, \u0430 \u0441\u0432\u043e\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 (\u0442\u043e \u0441\u0430\u043c\u043e\u0435, \u043f\u043e \u0444\u0430\u043a\u0442\u0443 \u0437\u0430 \u0447\u0442\u043e \u0438 \u043f\u043b\u0430\u0442\u0438\u0442 \u0440\u0430\u0431\u043e\u0442\u043e\u0434\u0430\u0442\u0435\u043b\u044c \u043d\u0430\u043d\u0438\u043c\u0430\u044f \u0442\u0435\u0431\u044f)5. Autonomy: \u043c\u043e\u0436\u0435\u0448\u044c \u043b\u0438 \u0442\u044b \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0442\u044c \u0437\u0430\u0434\u0430\u0447\u0443, \u0430 \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043f\u043e\u0440\u0443\u0447\u0435\u043d\u0438\u0435\u0414\u043b\u044f middle \/ senior hands-on \u0440\u043e\u043b\u0438 \u0432\u0430\u0436\u043d\u043e \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c autonomy.\u0422\u043e \u0435\u0441\u0442\u044c \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u044c:\u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0432 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0435;\u0441\u043e\u0431\u0440\u0430\u0442\u044c facts;\u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c assumptions;\u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u044c fix;\u0434\u043e\u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c\u0441\u044f \u0441 dev \/ team lead;\u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 retest;\u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u043f\u043e\u0441\u043b\u0435 \u0441\u0435\u0431\u044f \u043f\u043e\u043d\u044f\u0442\u043d\u044b\u0439 workflow.\u0424\u0440\u0430\u0437\u0430:\u041c\u043d\u0435 \u043f\u043e\u0440\u0443\u0447\u0430\u043b\u0438 \u0437\u0430\u0434\u0430\u0447\u0438 \u043f\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438.\u0437\u0432\u0443\u0447\u0438\u0442 \u0441\u043b\u0430\u0431\u0435\u0435, \u0447\u0435\u043c:I identified recurring scanner noise, tuned severity policy and suppression workflow, and helped product teams focus on exploitable findings.Autonomy \u043d\u0435 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 \u201c\u044f \u0431\u044b\u043b \u0440\u0443\u043a\u043e\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c\u201d.\u041c\u043e\u0436\u043d\u043e \u043d\u0435 \u0431\u044b\u0442\u044c \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440\u043e\u043c, \u043d\u043e \u0438\u043c\u0435\u0442\u044c ownership \u0437\u0430 technical outcome.Technical value map: \u043a\u0430\u043a \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0438\u0442\u044c \u043e\u0431\u044b\u0447\u043d\u0443\u044e \u0440\u0430\u0431\u043e\u0442\u0443 \u0432 \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u041d\u0438\u0436\u0435 \u043f\u0440\u043e\u0441\u0442\u0430\u044f \u043a\u0430\u0440\u0442\u0430 \u043f\u0435\u0440\u0435\u0432\u043e\u0434\u0430 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u0432 engineering value.Technical action\u0427\u0442\u043e \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442 \u0434\u043b\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b\u041a\u0430\u043a \u044d\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0438\u0441\u0430\u0442\u044c\u0412\u043d\u0435\u0434\u0440\u0438\u043b SAST\/SCA \u0432 CI\/CD\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043b\u043e\u0432\u044f\u0442\u0441\u044f \u0440\u0430\u043d\u044c\u0448\u0435, \u043c\u0435\u043d\u044c\u0448\u0435 security debtIntegrated SAST\/SCA into CI\/CD for 30+ repos, increasing automated security coverage before release\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043b rules \/ suppressions\u041c\u0435\u043d\u044c\u0448\u0435 false positives, \u0432\u044b\u0448\u0435 \u0434\u043e\u0432\u0435\u0440\u0438\u0435 dev teamsReduced scanner noise by tuning rules and suppression workflow, improving developer adoption\u0421\u043e\u0431\u0440\u0430\u043b vuln dashboard\u041f\u043e\u044f\u0432\u0438\u043b\u0441\u044f \u0435\u0434\u0438\u043d\u044b\u0439 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u043f\u0440\u0430\u0432\u0434\u044b \u043f\u043e severity, ownership \u0438 SLABuilt vulnerability dashboard to track severity, ownership and remediation SLA across product teams\u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b report\/export\u041c\u0435\u043d\u044c\u0448\u0435 \u0440\u0443\u0447\u043d\u043e\u0439 \u0440\u0443\u0442\u0438\u043d\u044b, \u0431\u044b\u0441\u0442\u0440\u0435\u0435 visibilityAutomated recurring security reports, reducing manual reporting time and improving visibility\u041f\u0440\u043e\u0432\u0451\u043b web\/API pentest\u041d\u0430\u0439\u0434\u0435\u043d\u044b \u0438 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u044b exploitable pathsPerformed web\/API testing and validated remediation for high-risk findings before production release\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u043b secrets detection\u0421\u0435\u043a\u0440\u0435\u0442\u044b \u043b\u043e\u0432\u044f\u0442\u0441\u044f \u0440\u0430\u043d\u044c\u0448\u0435, \u0434\u043e \u043f\u043e\u043f\u0430\u0434\u0430\u043d\u0438\u044f \u0432 productionAdded secrets detection to CI\/CD and helped teams remediate exposed credentials before release\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043b IAM \/ public exposure\u0421\u043d\u0438\u0436\u0435\u043d\u044b cloud misconfiguration risksReviewed IAM permissions, public exposure and logging coverage across&#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-480947","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/480947","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=480947"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/480947\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=480947"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=480947"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=480947"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}