Домен
Тестирование и QA
Профиль навыка
Security Testing
OWASP ZAP, Burp Suite, penetration testing, DAST pipelines, SAST интеграция
Тестирование и QA
Специализированное тестирование
Ролей
7
где встречается этот навык
Грейдов
5
сформированная дорожка роста
Обязательных требований
27
ещё 8 — необязательные
Группа
Специализированное тестирование
Последнее обновление
17.03.2026
Как использовать
Выберите текущий грейд и сравните ожидания. Карточки ниже покажут, что нужно закрыть для следующего уровня.
Чего ждут на каждом уровне
Таблица показывает, как меняется глубина владения навыком от Junior до Principal.
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Понимает основы тестирования безопасности: уязвимости OWASP Top 10, базовое использование инструментов SAST/DAST (SonarQube, OWASP ZAP) и дизайн тест-кейсов безопасности. Запускает автоматические сканы безопасности и отчитывает о находках. Следует командным гайдлайнам верификации безопасного кодирования и триажа уязвимостей. | |
| DevSecOps Engineer | Понимает тестирование безопасности в контексте CI/CD: интеграция SAST/DAST сканеров в пайплайны, сканирование уязвимостей образов контейнеров и проверки безопасности зависимостей. Настраивает автоматические security gates в процессах сборки. Следует командным практикам конфигурации инструментов безопасности и управления алертами. | |
| Penetration Testing Engineer | Понимает основы пентестинга: техники разведки, типичные уязвимости веб-приложений и базовые инструменты эксплуатации (Burp Suite, Metasploit). Проводит guided оценки уязвимостей по установленным методологиям. Отчитывает о находках с чёткими шагами воспроизведения и рейтингами риска. | |
| QA Automation Engineer | Обязателен | Понимает основы тестирования безопасности для QA: гайдлайны тестирования OWASP, базовые security-ассерты в автоматических тестах (проверки XSS, SQL injection) и управление тестовыми данными безопасности. Интегрирует базовые проверки безопасности в существующие тестовые фреймворки. Следует командным практикам регрессионного тестирования безопасности. |
| QA Engineer (Manual) | Обязателен | Понимает основы тестирования безопасности с перспективы QA: дизайн мануальных тест-кейсов безопасности, тестирование потоков аутентификации/авторизации и верификация валидации ввода. Проводит эксплораторные тестовые сессии с фокусом на безопасность. Следует командным гайдлайнам отчётности и классификации дефектов безопасности. |
| QA Security Engineer | Обязателен | Понимает основы security QA: планирование тестирования безопасности, методология тестирования OWASP и дизайн тест-кейсов с фокусом на безопасность. Выполняет наборы тестов безопасности, покрывающие аутентификацию, авторизацию, валидацию ввода и защиту данных. Использует базовые инструменты тестирования безопасности (OWASP ZAP, Burp Suite Community). Следует командным практикам управления жизненным циклом дефектов безопасности. |
| Security Analyst | Понимает тестирование безопасности с аналитической перспективы: интерпретация отчётов оценки уязвимостей, анализ результатов сканов безопасности и методологии рейтинга рисков (CVSS). Мониторит дашборды сканирования безопасности и отслеживает прогресс ремедиации. Следует командным практикам воркфлоу управления уязвимостями. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Самостоятельно проводит тестирование безопасности приложений: создание кастомных правил SAST, конфигурация DAST-сканов для сложных приложений и интерактивное тестирование безопасности (IAST). Выполняет ручной code review для security-critical компонентов. Создаёт автоматизацию тестирования безопасности для CI/CD пайплайнов. Покрывает edge cases в аутентификации, авторизации и валидации данных. | |
| DevSecOps Engineer | Внедряет security testing в CI/CD: SAST с Semgrep, dependency scanning с Snyk, secret detection с GitLeaks. Проводит ручное тестирование безопасности с Burp Suite для веб-приложений. Пишет security test cases для критических функций: аутентификация, авторизация, обработка платежей. | |
| Penetration Testing Engineer | Самостоятельно проводит пентесты: эксплуатация веб-приложений (SQLi, XSS, SSRF, десериализация), тестирование безопасности API и оценка уязвимостей инфраструктуры. Использует продвинутые техники Burp Suite (кастомные расширения, паттерны intruder). Создаёт proof-of-concept эксплойты и детальные технические отчёты с рекомендациями по ремедиации. | |
| QA Automation Engineer | Обязателен | Реализует автоматизацию тестирования безопасности: интегрирует OWASP ZAP в CI/CD для автоматизированного DAST, создаёт наборы регрессионных тестов безопасности и реализует тестирование безопасности API (обход аутентификации, инъекции, rate limiting). Разрабатывает кастомные скрипты security-тестов для доменно-специфичных уязвимостей. Покрывает edge cases в валидации контролей безопасности. |
| QA Engineer (Manual) | Обязателен | Самостоятельно проводит мануальное тестирование безопасности: эксплораторные сессии security-тестирования, попытки обхода аутентификации/авторизации и граничное тестирование валидации ввода. Создаёт комплексные тест-планы безопасности по гайдлайнам OWASP. Сотрудничает с pentest-командой по верификации уязвимостей. Реализует security-focused техники тест-дизайна. |
| QA Security Engineer | Обязателен | Проводит security тестирование: OWASP Top 10 verification, vulnerability scanning (ZAP/Burp), dependency checking (Snyk). Документирует findings с reproducible steps. |
| Security Analyst | Самостоятельно анализирует результаты тестирования безопасности: коррелирует находки сканов уязвимостей между инструментами, оценивает риск-влияние для бизнес-критичных приложений и отслеживает compliance SLA ремедиации. Создаёт отчёты управления уязвимостями и анализ трендов. Проводит сессии моделирования угроз для приоритизации усилий тестирования безопасности. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Проектирует стратегию тестирования безопасности приложений: кастомная архитектура SAST/DAST пайплайна, планирование тестов на основе модели угроз и security chaos engineering. Реализует продвинутые техники тестирования: mutation-based фаззинг, семантический анализ кода и security-тестирование на основе API-спецификаций. Создаёт фреймворки тестирования безопасности и переиспользуемые тестовые библиотеки. Менторит команду по методологиям тестирования безопасности. |
| DevSecOps Engineer | Обязателен | Разрабатывает стратегию security testing для всех стадий SDLC. Внедряет fuzz testing (AFL, libFuzzer) для обнаружения memory corruption уязвимостей. Настраивает IAST для runtime-анализа в staging-среде. Создаёт framework для автоматизированного penetration testing API с Nuclei и custom templates. |
| Penetration Testing Engineer | Обязателен | Проектирует комплексные программы пентестинга: red team операции, продвинутая разработка эксплойтов и фреймворки оценки безопасности. Реализует автоматизированные пайплайны обнаружения уязвимостей. Проводит продвинутые атаки: эксплуатация облачной инфраструктуры, container escape и симуляция supply chain атак. Создаёт тулинг пентестинга и кастомные фреймворки эксплойтов. Менторит команду по продвинутым техникам offensive security. |
| QA Automation Engineer | Обязателен | Проектирует архитектуру тестирования безопасности для продукта: автоматизированная пирамида security-тестов (SAST/DAST/IAST), фреймворк регрессии безопасности и пайплайны детекции уязвимостей. Реализует contract-based тестирование безопасности API и fuzz-тестирование для валидации ввода. Создаёт практики COE тестирования безопасности. Оптимизирует выполнение security-тестов для быстрой обратной связи CI/CD. Менторит команду по автоматизации security-тестирования. |
| QA Engineer (Manual) | Обязателен | Проектирует стратегию тестирования безопасности для QA: планирование security-тестов, выровненное с моделями угроз, фреймворки эксплораторного тестирования безопасности и управление регрессионными security-тестами. Реализует метрики и дашборды качества тестирования безопасности. Создаёт обучающие материалы по security-тестированию для QA-команды. Менторит команду по security-focused тест-дизайну и risk-based тестированию. |
| QA Security Engineer | Обязателен | Проектирует security testing program: risk-based testing strategy, automated vulnerability scanning pipeline, manual penetration testing scope. Интегрирует с bug bounty. |
| Security Analyst | Обязателен | Проектирует аналитику безопасности для управления уязвимостями: автоматическая корреляция уязвимостей между инструментами сканирования, модели приоритизации на основе рисков и дашборды отчётности для руководства. Реализует непрерывный мониторинг безопасности для портфеля приложений. Проводит организационное моделирование угроз и оценку рисков. Менторит команду по продвинутым техникам анализа безопасности. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет стратегию тестирования безопасности для организации. Устанавливает стандарты SAST/DAST/IAST, quality gates тестирования безопасности и DevSecOps-практики. Продвигает внедрение культуры shift-left security testing. Создаёт COE тестирования безопасности и обучает security champions в инженерных командах. |
| DevSecOps Engineer | Обязателен | Определяет программу security testing для организации. Управляет внутренней penetration testing командой и координирует внешние аудиты. Строит метрики: coverage, vulnerability density, escape rate. Внедряет chaos engineering для security (GameDay). Интегрирует security testing в Definition of Done. |
| Penetration Testing Engineer | Обязателен | Определяет стратегию пентестинга для организации. Устанавливает методологии пентестинга, гайдлайны по scope и стандарты отчётности. Координирует red team операции и purple team exercises. Создаёт фреймворки симуляции атак для непрерывной валидации безопасности. Обучает pentest-команду новым векторам атак. |
| QA Automation Engineer | Обязателен | Определяет стратегию тестирования безопасности на уровне продукта. Устанавливает стандарты автоматизированного тестирования безопасности, quality gates и требования интеграции DevSecOps. Продвигает внедрение security testing как части CI/CD пайплайна каждой команды. Создаёт стандарты инфраструктуры и тулинга тестирования безопасности для организации. |
| QA Engineer (Manual) | Обязателен | Определяет testing strategy на уровне продукта. Формирует стандарты quality assurance. Внедряет shift-left testing culture. |
| QA Security Engineer | Обязателен | Определяет security testing стандарты: testing methodology, tool selection, reporting requirements. Координирует security testing across development lifecycle. |
| Security Analyst | Обязателен | Определяет стратегию анализа безопасности и управления уязвимостями. Устанавливает политики сканирования уязвимостей, фреймворки оценки рисков и требования SLA ремедиации. Координирует интеграцию threat intelligence для приоритизации тестирования безопасности. Создаёт возможности аналитики безопасности для видимости уязвимостей масштаба организации. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет QA-стратегию организации. Формирует quality engineering culture. Внедряет platform-решения для тестирования. |
| DevSecOps Engineer | Обязателен | Проектирует корпоративный фреймворк security testing, объединяющий SAST, DAST, IAST, SCA, fuzzing и pentest в единую программу. Определяет стратегию AI-assisted security testing. Разрабатывает модель зрелости security testing. Управляет отношениями с внешними исследователями безопасности. |
| Penetration Testing Engineer | Обязателен | Определяет enterprise-стратегию offensive security. Формирует организационные red team возможности и программы непрерывной валидации безопасности. Продвигает внедрение платформ adversary simulation и breach-and-attack simulation (BAS). Координируется с индустрией по новым угрозам и исследованиям offensive security. Представляет организацию на конференциях безопасности и в стандартизирующих организациях. |
| QA Automation Engineer | Обязателен | Определяет организационную стратегию тестирования безопасности как часть общего quality engineering. Строит security-aware культуру тестирования во всех командах разработки. Реализует платформенные решения для автоматизированной валидации безопасности в масштабе. Продвигает внедрение AI-assisted security testing и практик непрерывного обеспечения безопасности. |
| QA Engineer (Manual) | Обязателен | Определяет QA-стратегию организации. Формирует quality engineering culture. Внедряет platform-решения для тестирования. |
| QA Security Engineer | Обязателен | Проектирует organizational security testing strategy: continuous security assurance, automated compliance verification, security testing center of excellence. |
| Security Analyst | Обязателен | Определяет enterprise-стратегию мониторинга безопасности и управления уязвимостями. Формирует организационные возможности аналитики безопасности и фреймворки управления рисками. Продвигает внедрение продвинутой детекции угроз и автоматизированной оценки безопасности в масштабе. Координирует compliance-требования и индустриальные стандарты для практик тестирования безопасности. |
Загрузка комментариев...
Войти, чтобы присоединиться к обсуждению