Cпециалист по безопасной разработке (SecDevOps/DevSecOps)

компания "искрауралтел" сфера нашей деятельности – разработка и внедрение продуктов и решений для широкого круга заказчиков (операторы связи, мчс, ржд, минэнерго и ряд других). большая часть наших проектов – это комплексные, многокомпонентный решения, реализованные на современных технологических стеках к сожалению, развитие информационных технологий сопровождается ростом различных информационных угроз, снижающих надежность функционирования программных продуктов, а также увеличивающих риски кражи конфиденциальных данных. одной из причин, позволяющих этим угрозам реализоваться, является наличие в программном коде различного рода уязвимостей, используя которые злоумышленник может выполнить те или иные непредусмотренные (зловредные) действия. современный подход к обеспечению информационной безопасности программных продуктов, известный как ssdlc (secure software development lifecycle) предполагает реализацию определенных технических шагов уже на ранних этапах разработки по, т.е. фазах анализа требований, проектирования архитектуры, написания кода, тестирования). именно для практической реализации такого подхода нам нужен специалист данного профиля задачи: выяснить наличие/отсутствие необходимых компетенций по безопасной разработке в команде разработчиков по, выработать соответствующие рекомендации по их (компетенциям) формированию выполнять аудит информационной безопасности разрабатываемых продуктов методологически и технологически выстроить (и в дальнейшем поддерживать) процесс secure sdlc (т.е. процесс безопасной разработки), интегрируя его в уже существующие процессы сi/cd на профессиональном уровне анализировать возникающие вопросы информационной безопасности и вырабатывать соответствующие рекомендации/решения эффективно взаимодействовать с командой разработки по вопросам выбора, оценки и реализации технологий и инструментария безопасной разработки ключевые навыки/опыт достаточный уровень общих теоретических знаний по информ. безопасности (модели угроз, виды уязвимостей, типы атак, политики, стандарты и т.п.) понимание и опыт реализации процесса безопасной разработки (s-sdlc, devsecops) понимание/опыт применения технологий тестирования безопасности приложений (dast, sast, iast) и особенностей их применения на тех или иных этапах разработки опыт практического использования инструментария тестирования безопасности (например, semgrep, burp, zap, acunetix или подобных) опыт написания правил для сканеров уязвимостей; linux на уровне lpi-101, rhca, lfcs (наличие формальных сертификатов необязательно, важен реальный опыт) понимание процессов и инструментария ci/cd (jenkins, gitlab ci или аналоги) практический опыт использования скриптовых языков (помимо bash) для автоматизации рутинных операций (python, perl, ruby или подобные) приличный английский (читать/писать без словаря, если есть разговорный навык – совсем хорошо) дополнительно знание сетевых технологий на уровне ccna или аналогичном знакомство с концепцией soc/siemm и соответствующими инструментами (splunk, security onion, wazuh, и т.п.) опыт работы с контейнерами (docker или аналоги) + оркестрация (docker-compose/swarm, k8s) условия работы у нас: официальное трудоустройство, согласно тк рф. заработная плата/премии – по итогам собеседования, далее - в зависимости от продуктивности вашей работы. возможность гибкого графика работы, возможность дистанционной работы рассматривается. бесплатное медицинское обслуживание (после испытательного срока). и еще у нас: традиционно высокие инвестиции в профессиональное обучение сотрудников. оплачиваемое компанией участие в профессиональных конференциях, в том числе за границей. корпоративные занятия по английскому языку.