DevSecOps Инженер

Компания разрабатывает несколько web-проектов, включая сайт hh.ru, а также несколько мобильных приложений.

Нам нужен опытный DevSecOps инженер, готовый внедрять и поддерживать DevSecOps процессы во все наши проекты.

Обязанности:

• Участие в формировании крепкой, экспертной, дружной команды.
• Выбор инструментов, средств контроля безопасной разработки.
• Автоматизация процессов безопасной разработки, сканирования.
• Проведение пилотов и дальнейшее внедрение в циклы CI/CD инструментария SAST/DAST/MAST/SCA/OSA и т. д.
• Внедрение оркестрации, корреляции, дедупликации для обнаруженных уязвимостей. Настройка и управление инструментами безопасности
• Верификация обнаруженных уязвимостей, определение критичности, меры по снижению рисков, контроль и помощь разработчикам в устранении уязвимостей.
• Внедрение и ведение метрик, автоматизация составления аналитики.
• Разработка и поддержка инструментов и скриптов для автоматического анализа безопасности кода в процессе непрерывной интеграции и поставки.
• Анализ защищенности и сканирование уязвимостей информационной инфраструктуры, прикладных сервисов, включая API.
• Взаимодействие с продуктовыми командами для выстраивания процессов безопасной разработки.
• Снижение рисков ИБ.
• Распространение DevSecOps практик на все проекты компании.
• Исследование новых практик DevSecOps, инструментов и технологий защиты приложений.
• Разработка инструкций и базы знаний для команд по применению инструментов безопасности DevSecOps.
• Участие в процессах сертификации.

Требования:

• Опыт работы на аналогичной должности от 3 лет.
• Понимание основных принципов безопасности приложений и инфраструктуры.
• Опыт работы и внедрения SAST, DAST, MAST в уже существующий процесс разработки.
• Опыт работы с Git, GNU/Linux систем на уровне уверенного пользователя.
• Опыт работы с оркестрацией и корреляцией (агрегация уязвимостей, группировка, работа с тикет-системами, типа JIRA).
• Знание принципов и рекомендаций, предложенными OWASP.
• Опыт с различными инструментами и ресурсами, предоставляемыми OWASP, для анализа и улучшения безопасности приложений.

Плюсом будет:

• Знание Java.
• Знание Python или любого скриптового языка.
• Знание Docker, K8s, Jenkins, Bamboo, JIRA, github.

Условия:

• Удобное светлое рабочее место, со всем необходимым для работы.
• Официальное трудоустройство, стабильную з/п.
• Гибкий график работы из дома или офиса.
• Хороший тренажерный зал в офисе и душ при нем. А также занятия йогой, настольный теннис и кикер.
• Кофе в кофемашинах, чай, печенье, фрукты на кухне.
• Корпоративный ДМС c первого месяца работы (решаем вопросы со здоровьем быстро и удобно).
• Из другого региона? Поможем с возмещением расходов на переезд.
• Обалденная команда, где умеют слышать "тихие голоса"
• Участие во всех профильных конференциях в качестве слушателя и докладчика.