Кибербезопасность: Понимание основных концепций: модель угроз (STRIDE, DREAD), уязвимости, векторы атак, OWASP Top 10 (для веба), MITRE ATT&CK framework.

Жизненный цикл разработки (SDLC): Знание всех этапов: планирование, кодирование, сборка, тестирование, релиз, развертывание, эксплуатация и мониторинг. Безопасность встраивается на каждом этапе.

Соответствие требованиям (Compliance): Понимание стандартов и регуляторов, таких как GDPR, PCI DSS, HIPAA, ISO 27001, и как автоматизировать их проверку.

Threat Modeling: Навыки проведения моделирования угроз (например, с помощью OWASP Threat Dragon, Microsoft Threat Modeling Tool) на этапе проектирования.

SAST (Static Application Security Testing): Инструменты для статического анализа кода до его запуска. Ищут уязвимости в исходном коде. Инструменты: SonarQube, Checkmarx, Semgrep, Fortify, Bandit (для Python).

SCA (Software Composition Analysis) / Dependency Scanning: Анализ зависимостей проекта на наличие известных уязвимостей (CVE). Инструменты: OWASP Dependency-Check, Snyk, WhiteSource, GitHub Dependabot, GitLab Dependency Scanning.

Этап: Build / Test CI/CD Integration: Ключевой навык — интеграция инструментов безопасности в конвейер (пайплайн) CI/CD (Jenkins, GitLab CI, GitHub Actions, Azure DevOps).

Контейнерная безопасность: Сканирование образов контейнеров (Docker) на наличие уязвимостей, неправильных конфигураций, секретов. Инструменты: Trivy, Grype, Clair, Docker Scout.

IAST (Interactive Application Security Testing): Анализ безопасности приложения во время его работы (например, во время автотестов).

Этап: Release / Deploy Infrastructure as Code (IaC) Security: Проверка конфигураций на предмет ошибок безопасности до развертывания инфраструктуры. Инструменты для Terraform, CloudFormation, Ansible: Checkov, Terrascan, tfsec, KICS.

Secrets Management: Управление секретами (API-ключи, пароли, токены) с помощью специализированных инструментов, а не хранения в коде. Инструменты: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, Doppler.

Cloud Security Posture Management (CSPM): Постоянный мониторинг облачной инфраструктуры (AWS, Azure, GCP) на соответствие best practices и поиск misconfigurations. Инструменты: Wiz, Palo Alto Prisma Cloud, CrowdStrike Horizon.

Этап: Operate / Monitor RASP (Runtime Application Self-Protection): Защита приложения во время его работы (обнаруживает и блокирует атаки в реальном времени).

DAST (Dynamic Application Security Testing): Тестирование работающего приложения на наличие уязвимостей “снаружи”. Инструменты: OWASP ZAP, Burp Suite, Nuclei.

Системы обнаружения вторжений (IDS/IPS): Например, Suricata, Zeek.

SOAR / SIEM: Интеграция с системами мониторинга и реагирования на инциденты (например, Splunk, Elastic SIEM, Wazuh).