Применяет GDPR/152-ФЗ compliance в безопасности приложений: проводит privacy-ориентированные код-ревью, реализует проверки минимизации данных и валидирует потоки управления согласиями. Использует SAST для обнаружения утечек PII и нарушений логирования.

Валидирует реализации JWT/OAuth2 в приложениях: ревьюит логику валидации токенов, аудитит конфигурации OAuth2-потоков на уязвимости и тестирует на типичные JWT-атаки (algorithm confusion, claim injection). Проводит security code review с фокусом на middleware аутентификации. Использует jwt.io и Burp Suite для анализа токенов.

Применяет OWASP Top 10 и практики безопасности приложений в безопасных процессах разработки. Проводит ревью кода с фокусом на безопасность, выявляя уязвимости инъекций, аутентификации и контроля доступа. Использует инструменты SAST/DAST (SonarQube, Burp Suite, OWASP ZAP) для автоматизированного сканирования и триажа уязвимостей.

Применяет требования PCI DSS при ревью архитектуры безопасности приложений. Проводит security code review с фокусом на обработку и шифрование данных держателей карт. Использует инструменты сканирования для проверки PCI compliance сервисов.

Применяет модели авторизации RBAC и ABAC при ревью безопасности приложений. Проводит code review с фокусом на логику контроля доступа и enforcing прав. Использует инструменты статического анализа для обнаружения уязвимостей обхода авторизации в коде.

Настраивает и запускает SAST/DAST инструменты для выявления уязвимостей в коде приложений и работающих сервисах. Проводит security code review с использованием результатов статического анализа. Триажит результаты сканирования, устраняет false positive и отслеживает подтверждённые проблемы.

Интегрирует управление секретами в воркфлоу безопасности приложений: сканирует кодовые базы на захардкоженные секреты (TruffleHog, git-secrets), ревьюит Vault-политики на least-privilege доступ и валидирует процедуры ротации секретов. Проводит security code review с фокусом на паттерны работы с учётными данными.

Реализует контроли безопасности SOC 2 в архитектуре приложений: логирование доступа, шифрование at rest/in transit и управление уязвимостями. Проводит security code review в соответствии с Trust Services Criteria.

Применяет практики SBOM и безопасности supply chain в CI/CD pipeline: интегрирует SCA-инструменты (Snyk, Grype, Trivy), обеспечивает лицензионные политики и автоматизирует workflow патчинга уязвимостей. Проводит ревью безопасности дерева зависимостей и оценивает риски сторонних компонентов.

Применяет практики Kubernetes security к контейнеризованным приложениям, включая pod security standards, network policies и конфигурации RBAC. Сканирует образы контейнеров на уязвимости с помощью Trivy или Snyk. Ревьюирует Kubernetes manifest-ы на ошибки конфигурации безопасности и compliance с hardening.

Применяет принципы облачной безопасности к рабочим нагрузкам приложений. Проводит ревью безопасности облачных приложений с помощью CSPM-инструментов. Сканирует образы контейнеров и анализирует serverless-функции для выявления уязвимостей в пайплайнах развёртывания.

Самостоятельно проводит сессии моделирования угроз для компонентов приложений с использованием методологии STRIDE. Строит диаграммы потоков данных и определяет границы доверия. Приоритизирует угрозы с помощью DREAD или матриц рисков. Интегрирует моделирование угроз в этапы SDLC и отслеживает устранение выявленных рисков.

Понимает TCP/IP стек. Настраивает TLS/SSL. Работает с load balancers и reverse proxy (nginx). Понимает DNS resolution и TTL. Дебажит сетевые проблемы (tcpdump, wireshark basics).

Применяет методы digital forensics для расследования инцидентов безопасности приложений. Собирает и сохраняет логи приложений, дампы памяти и сетевые захваты с соблюдением chain of custody. Использует forensic-инструменты (Volatility, Autopsy) для анализа артефактов скомпрометированных web-приложений.

Применяет практики безопасного кодирования в процессах безопасности приложений — проводит углублённые ревью безопасности кода, выявляя инъекции, уязвимости аутентификации и криптографические слабости. Использует инструменты SAST (Semgrep, CodeQL) для автоматизированного обнаружения уязвимостей и разрабатывает кастомные правила безопасности для организационно-специфичных паттернов рисков.

Участвует в реагировании на инциденты безопасности приложений по установленным playbook-ам. Сортирует алерты, связанные с уязвимостями приложений (SQLi, XSS, SSRF). Собирает логи приложений и артефакты для расследования и чётко передаёт результаты incident commander.

Самостоятельно настраивает и проверяет сетевые средства защиты инфраструктуры приложений: правила WAF, усиление reverse proxy, управление TLS-сертификатами. Анализирует сетевой трафик на признаки атак прикладного уровня (SQLi через HTTP, SSRF, DNS-эксфильтрация). Интегрирует алерты IDS/IPS в процессы мониторинга безопасности приложений.

Самостоятельно настраивает и поддерживает инструменты SCA (Snyk, Dependabot, Trivy) в нескольких репозиториях. Анализирует деревья транзитивных зависимостей для оценки реальной эксплуатируемости обнаруженных CVE. Понимает компромиссы между политиками автомержа для патч-обновлений и ручной проверкой мажорных версий. Интегрирует сканирование зависимостей в CI/CD-пайплайны с настройкой порогов блокировки сборки.

Управляет жизненным циклом уязвимостей от обнаружения до исправления в окружениях приложений. Проводит security code review для валидации и классификации выявленных уязвимостей. Использует сканеры и инструменты трекинга для ведения точного инвентаря проблем безопасности приложений.