UNITED — команда, которая уже более 5+ лет специализируется на помощи организациям в их цифровой трансформации.

Наш клиент - крупный системный интегратор, который развивает цифровые сервисы и реализует высокотехнологичные инфраструктурные проекты для бизнеса и государства, в том числе по модели контрактов жизненного цикла. Решения клиента используются в различных отраслях экономики: от общественного транспорта и городского хозяйства до машиностроения и объектов социального значения

Мы находимся в поиске "DevSecOps-инженера", который сможет принять участие в нескольких интересных проектах:

1. Разработка собственной СУБД на основе PostgreSQL и миграция с различных СУБД на собственном решении.
2. Разработка ОС (ядро на Linux).
3. Разработка системы виртуализации на основе OpenStack.

Задачи:

Внедрение, настройка инструментов продуктовой безопасности в CI/CD пайплайнах, как в существующих, так и в новых;
Пилотирование и адаптация инструментов и практик для развития автоматизации процессов безопасной разработки.

Пожелания к кандидату:

Понимание процессов и этапов цикла безопасной разработки ПО (SSDLC);
Разработка собственных решений CI/CD и мониторинга уязвимостей;
Опыт работы с инструментами DevOps (Docker, Kubernetes, GitLab, Vault, Terraform, Ansible, Jenkins);
Опыт работы с инструментами безопасности (SAST, DAST, OSA/SCA, Fuzzing, Vulnerability Scanner, SBOM);
Опыт внедрения процессов и практик безопасной разработки в жизненный цикл программного обеспечения;
Навыки разработки и автоматизации на Bash, Python;
Уверенная работа с Linux;
Понимание кода на C;
Настройка мониторинга (Zabbix, Prometheus, ELK);
Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности;
Знание основных принципов обеспечения информационной безопасности стека приложений и инфраструктуры;
Моделирование угроз и тестирование на проникновение;
Составление плана проекта и методика трансформации организации в DevSecOps;
Написание скриптов для управления компонентами безопасности на хостах;
Разработка технических требований по применению практик безопасной разработки;
Участие в реализации концепции Zero-trust;
Построение модели ИБ угроз;
Использование инструментов анализа сторонних компонентов ПО (Software Composition Analysis). SBOM;
Обеспечивание безопасностью окружения на этапе разработки;
Осуществление предрелизной проверки безопасности;
Взаимодействие со ФСТЭКом и с НПА в рамках безопасной разработки.

Дополнительные пожелания к кандидату:

Опыт работы с ГОСТ Р 56939-2016;
Опыт работы с ГОСТ Р ИСО/МЭК 15408-1,2,3;
Опыт проведения аудита архитектуры программного обеспечения с точки зрения информационной безопасности;
Опыт выстраивания разработки безопасного программного обеспечения для сертификации программного обеспечения;
Опыт работы с сертифицированным СЗИ;
Опыт работы в командах разработки системного ПО.

Условия:

Полное соблюдение ТК РФ;
Возможность работать удаленно;
ИТ-аккредитация;
Хороший пакет ДМС и корпоративная связь;
Скидки от Skyeng на изучение английского языка;
Внешние профессиональные мероприятия и конференции;
Внутренние митапы от сотрудников в формате TED;
Скидки на клубные карты фитнес-сетей.