Реализует OAuth 2.0 с PKCE для SPA и мобильных приложений. Настраивает Keycloak/Auth0 как Identity Provider с поддержкой OIDC. Внедряет безопасное хранение токенов (HttpOnly cookies, token rotation). Реализует rate limiting и token revocation. Настраивает scope-based authorization.

Внедряет OWASP ASVS как стандарт верификации безопасности приложений. Проводит ревью кода на соответствие OWASP Top 10. Настраивает OWASP ZAP для автоматического DAST-сканирования в CI/CD. Применяет OWASP Testing Guide для систематического тестирования веб-приложений на уязвимости.

Реализует иерархический RBAC с наследованием ролей и permission boundaries. Внедряет ABAC с Open Policy Agent (OPA) для контекстно-зависимых решений доступа. Настраивает AWS IAM policies с conditions для ABAC. Создаёт систему аудита изменений прав доступа. Реализует just-in-time access.

Интегрирует SonarQube и Semgrep в CI/CD пайплайны с quality gates, блокирующими merge при критических уязвимостях. Настраивает OWASP ZAP в режиме API-сканирования с OpenAPI-спецификацией. Пишет кастомные правила Semgrep для специфичных паттернов уязвимостей проекта.

Развёртывает Vault в production с auto-unseal через AWS KMS. Настраивает AppRole и Kubernetes auth methods для приложений. Реализует dynamic secrets для PostgreSQL и AWS IAM. Управляет Vault policies с принципом least privilege. Интегрирует Vault с Terraform через provider.

Применяет Supply Chain Security в повседневной работе. Проводит security code review. Использует инструменты сканирования и анализа.

Внедряет OPA Gatekeeper с constraint templates для Policy-as-Code в кластере. Настраивает Falco для runtime-обнаружения аномалий в контейнерах. Реализует image signing с Cosign и verification через Kyverno. Управляет Kubernetes RBAC с ClusterRoles по принципу minimal access.

Внедряет AWS Security Hub с включёнными стандартами CIS и PCI DSS. Настраивает GuardDuty для обнаружения угроз, AWS Config для continuous compliance. Реализует landing zone с Control Tower и SCPs. Управляет IAM через Terraform с enforced MFA и session policies.

Самостоятельно проводит threat modeling для микросервисов с использованием STRIDE. Строит Data Flow Diagrams, определяет trust boundaries и attack surfaces. Применяет Microsoft Threat Modeling Tool для систематического анализа. Приоритизирует угрозы по DREAD-модели и создаёт mitigation plans.

Проектирует сетевые архитектуры в облаке: VPC peering, Transit Gateway, PrivateLink. Настраивает DNS security (DNSSEC, DoH). Внедряет mTLS между сервисами. Анализирует сетевой трафик с tcpdump и Wireshark для расследования инцидентов. Настраивает VPN (WireGuard) для безопасного remote access.

Внедряет практики безопасного кодирования в команде: Content Security Policy, CORS-настройки, безопасная работа с сессиями. Настраивает pre-commit hooks с Semgrep для блокировки небезопасных паттернов. Проводит security-ревью pull requests. Реализует защиту от SSRF и path traversal.

Самостоятельно ведёт инциденты как Incident Commander для P2/P3 инцидентов. Проводит расследование security-инцидентов с анализом логов (ELK). Создаёт runbooks для типовых инцидентов: compromise credentials, DDoS, data breach. Настраивает автоматические алерты и escalation policies в PagerDuty.

Проектирует сетевую архитектуру с DMZ, private subnets и NAT gateways. Настраивает WAF (AWS WAF / ModSecurity) с правилами против OWASP Top 10. Внедряет VPN (WireGuard/IPSec) для site-to-site и remote access. Мониторит сетевые аномалии через VPC Flow Logs и AWS Traffic Mirroring.

Интегрирует Snyk в CI/CD с политикой блокировки builds при критических CVE (CVSS 9+). Настраивает Dependabot с группировкой обновлений и scheduled runs. Управляет .snyk policy файлами для обоснованных исключений. Анализирует transitive dependencies и license compliance через FOSSA.

Внедряет регулярное vulnerability scanning для всей инфраструктуры через Qualys/Rapid7 InsightVM. Настраивает SLA по устранению: Critical 24h, High 7d, Medium 30d. Интегрирует результаты сканирования с Jira для автоматического создания тикетов. Строит дашборды с трендами уязвимостей.