Инженер по безопасности разработки и эксплуатации (DevSecOps-инженер)

Обязанности: Обеспечение безопасности веб-приложений Внедрение основных принципов Secure SDLС (Secure Software Development Lifecycle process), SecDevOps Внедрение инструментов статического анализа кода (SAST) (Swift, Kotlin и Node.js) Участие в автоматизации security тестирований и интеграции в CI/CD в рамках QA Внедрение контролей безопасности в CI/CD pipeline Анализ результатов работы SAST/DAST решений, категоризация выявленных уязвимостей Анализ архитектуры инфраструктуры приложений, конфигурации сервисов с целью выявления и устранения рисков информационной безопасности Настройка безопасных конфигураций Linux/Windows/K8S (System Hardening) Автоматизация процессов информационной безопасности (написание скриптов на Python, программирование, администрирование специализированного ПО) Взаимодействие с подразделениями компании по вопросам информационной безопасности в рамках разработки продуктов (консультирование, участие в проработке требований, QA и пр.) Участие в реализации проектов по обеспечению безопасности продуктов Проведение мероприятий по повышению осведомленности по информационной безопасности (Security Awareness) команд разработки Участие в процессах переноса сервисов в инфраструктуру на базе K8S со стороны информационной безопасности Обеспечение процесса Vulnerability Management Участие в выявлении и реагировании на инциденты информационной безопасности Требования: Глубокие знания в области Web Application Security, умение находить основные уязвимости из OWASP Top 10 Глубокое понимание процессов CI/CD Базовый опыт разработки ПО и понимания принципов микросервисной архитектуры Знание и опыт реализации процесса безопасной разработки (S-SDLC), DevSecOps Опыт внедрения решений SAST Опыт автоматизации security тестирований и интеграции в CI/CD в рамках QA Практический опыт работы в обеспечении безопасности контейнерной инфраструктуры и систем оркестрации (hardening k8s, runtime security, network policy, rbac, secret management, container security) Практический опыт работы в обеспечении безопасности linux систем Опыт интеграции решений WAF (в виде облачного сервиса) Опыт автоматизации процессов информационной безопасности (написание скриптов на Python, программирование, code review) Опыт проведения мероприятий, направленных на повышение осведомленности по информационной безопасности (Security Awareness) команд разработки опыт участия в расследованиях инцидентов информационной безопасности Условия: Присоединившись к нам, ты сможешь принять участие в развитии продукта, которым пользуются миллионы График: 5/2, гибкое начало рабочего дня, возможность частично работать из дома Мы работаем над развитием сотрудников и поддерживаем их инициативу к обучению: сотрудники посещают как внутренние, так и внешние курсы и профильные конференции Оформление по ТК РФ Современная техника на выбор Корпоративные мероприятия и тимбилдинги С нами у Вас будет возможность: Участвовать в интересном проекте и решать нестандартные сложные задачи Постоянно прокачивать свои soft and hard skills