Домен
Безопасность
Профиль навыка
SAST/DAST
SonarQube, Semgrep, Snyk, OWASP ZAP: статический и динамический анализ
Безопасность
Безопасность приложений
Ролей
5
где встречается этот навык
Грейдов
5
сформированная дорожка роста
Обязательных требований
23
ещё 2 — необязательные
Группа
Безопасность приложений
Последнее обновление
17.03.2026
Как использовать
Выберите текущий грейд и сравните ожидания. Карточки ниже покажут, что нужно закрыть для следующего уровня.
Чего ждут на каждом уровне
Таблица показывает, как меняется глубина владения навыком от Junior до Principal.
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Понимает базовые концепции SAST/DAST. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| DevSecOps Engineer | Обязателен | Запускает SonarQube и Semgrep локально для статического анализа кода. Изучает отчёты SAST, классифицирует уязвимости по severity. Настраивает базовый DAST-скан OWASP ZAP против тестового приложения. Понимает разницу между SAST, DAST и IAST подходами к тестированию безопасности. |
| Penetration Testing Engineer | Обязателен | Понимает базовые концепции SAST/DAST. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| QA Security Engineer | Запускает SAST/DAST инструменты: SonarQube для статического анализа, ZAP для динамического. Читает отчёты, классифицирует findings. Отличает true positive от false positive. | |
| Security Analyst | Обязателен | Понимает базовые концепции SAST/DAST. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Настраивает и запускает SAST/DAST инструменты для выявления уязвимостей в коде приложений и работающих сервисах. Проводит security code review с использованием результатов статического анализа. Триажит результаты сканирования, устраняет false positive и отслеживает подтверждённые проблемы. |
| DevSecOps Engineer | Обязателен | Интегрирует SonarQube и Semgrep в CI/CD пайплайны с quality gates, блокирующими merge при критических уязвимостях. Настраивает OWASP ZAP в режиме API-сканирования с OpenAPI-спецификацией. Пишет кастомные правила Semgrep для специфичных паттернов уязвимостей проекта. |
| Penetration Testing Engineer | Обязателен | Использует DAST-инструменты совместно с ручным penetration testing для обнаружения runtime-уязвимостей. Валидирует находки SAST через эксплуатацию для подтверждения реальных векторов атак. Интегрирует динамическое сканирование в workflow penetration testing для покрытия поверхности атак. |
| QA Security Engineer | Настраивает SAST/DAST pipeline: Semgrep/SonarQube rules customization, ZAP automated scan profiles, IAST integration. Тюнит правила для снижения false positives. Приоритизирует findings. | |
| Security Analyst | Обязателен | Анализирует результаты SAST/DAST сканирования для оценки уровней риска и приоритизации исправлений. Коррелирует находки сканеров с threat intelligence и базами известных уязвимостей. Формирует actionable security-отчёты по данным сканирования для команд разработки и менеджмента. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Проектирует security-решения с SAST/DAST. Проводит threat modeling. Внедряет security practices в SDLC. Менторит команду. |
| DevSecOps Engineer | Обязателен | Разрабатывает централизованную платформу SAST/DAST для всех команд. Тюнит SonarQube quality profiles, минимизируя false positives до менее 10%. Внедряет IAST (Contrast Security) для runtime-анализа. Настраивает корреляцию результатов SAST и DAST для приоритизации уязвимостей. |
| Penetration Testing Engineer | Обязателен | Проектирует продвинутые стратегии SAST/DAST тестирования, комбинируя автоматическое сканирование с ручной эксплуатацией. Проводит threat modeling для выявления пробелов в покрытии сканеров. Встраивает SAST/DAST в security gates CI/CD с кастомными правилами. Менторит команду по интерпретации результатов. |
| QA Security Engineer | Обязателен | Проектирует SAST/DAST стратегию: tool selection по технологическому стеку, custom rules для business logic, correlation findings между SAST и DAST. Создаёт custom Semgrep/CodeQL rules. |
| Security Analyst | Обязателен | Проектирует комплексные аналитические фреймворки SAST/DAST для анализа трендов уязвимостей. Проводит threat modeling для сопоставления покрытия сканеров с реальными сценариями атак. Интегрирует результаты сканирования в SIEM для непрерывного мониторинга. Менторит аналитиков по классификации и скорингу рисков. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет стратегию SAST/DAST и стандарты выбора инструментов на уровне организации. Устанавливает политики сканирования, quality gates и SLA на исправление для команд разработки. Координирует реагирование на уязвимости при критических находках. Обучает инженеров эффективному внедрению SAST/DAST. |
| DevSecOps Engineer | Обязателен | Определяет стратегию AST (Application Security Testing) с SonarQube Enterprise, Semgrep Pro, OWASP ZAP и Burp Suite. Управляет командой AppSec-инженеров. Строит метрики эффективности SAST/DAST: время обнаружения, false positive rate, coverage. Интегрирует результаты в Defect Dojo. |
| Penetration Testing Engineer | Обязателен | Определяет стратегию интеграции SAST/DAST в penetration testing для всех продуктов. Устанавливает политики валидации сканеров и стандарты разработки кастомных правил. Координирует offensive security, комбинируя автоматическое сканирование с ручным тестированием. Обучает pentest-инженеров продвинутому использованию SAST/DAST. |
| QA Security Engineer | Обязателен | Определяет SAST/DAST стандарты: mandatory scanning gates, triage process, SLA по remediation. Координирует tooling между security и development. Оценивает tool effectiveness. |
| Security Analyst | Обязателен | Определяет стратегию мониторинга и отчётности SAST/DAST на уровне организации. Устанавливает политики управления уязвимостями на основе данных сканеров и классификации рисков. Координирует кросс-командное отслеживание исправлений критических находок. Обучает аналитиков анализу и приоритизации результатов. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет архитектуру SAST/DAST тестирования безопасности на уровне предприятия для всех платформ разработки. Формирует стратегию сканирования для multi-cloud и микросервисных окружений. Координирует работу с вендорами по возможностям инструментов и compliance. Продвигает лучшие практики SAST/DAST в индустрии. |
| DevSecOps Engineer | Обязателен | Проектирует корпоративную архитектуру тестирования безопасности, объединяющую SAST, DAST, IAST, SCA и фаззинг в единый пайплайн. Определяет стандарты для десятков команд. Оценивает и внедряет инновационные подходы: AI-driven SAST, semantic code analysis, runtime protection. |
| Penetration Testing Engineer | Обязателен | Определяет стратегию offensive security на уровне предприятия, интегрируя SAST/DAST с ручным penetration testing. Формирует архитектуру security-тестирования для сложных распределённых систем. Координирует работу с вендорами и регуляторами по стандартам сканирования. Представляет организацию в offensive security community. |
| QA Security Engineer | Обязателен | Проектирует application security testing платформу: integrated SAST/DAST/IAST/SCA, automated triage, vulnerability correlation. Определяет organizational AppSec testing strategy. |
| Security Analyst | Обязателен | Определяет стратегию vulnerability intelligence на уровне предприятия на основе данных SAST/DAST по всем подразделениям. Формирует архитектуру security-аналитики, интегрируя данные сканеров с threat intelligence платформами. Координирует compliance-отчётность с регуляторами. Продвигает стандарты управления уязвимостями в индустрии. |
Загрузка комментариев...
Войти, чтобы присоединиться к обсуждению