DevSecOps-инженер в команду Цифровой ипотеки

ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ:

• Выявление и устранение уязвимостей системы с микросервисной архитектурой
• Консультации разработчиков и DevOps по вопросам закрытия уязвимостей
• Выполнение требований ИБ
• Построение процессов безопасной разработки в CI/CD конвейере, автоматизация поиска уязвимостей
• Совершенствование процесса безопасного управления и хранения секретов
• Составление модели угроз и нарушителя безопасности информации

НАШИ ПОЖЕЛАНИЯ К СОИСКАТЕЛЮ:

• Навык работы Linux на уровне системного администратора (RPM/DEB based ОS)
• Знать основы сетей: модели TCP/IP, OSI, какие протоколы на каком уровне работают
• Знание технологий контейнеризации приложений Docker и k8s, своевременное обновление образов микросервисов
• Строгое понимание OWASP TOP 10 / CWE TOP 25 (какие уязвимости бывают и как их закрывать)
• Умение автоматизировать проверки на уязвимости в процессе CI/CD: (SCA, Container Scan, SAST)
• Опыт работы с инструментами: trivy, owasp dependency-check, semgrep SAST
• Уверенно владеть Burp Suite и проводить ручной анализ веб-приложений на предмет уязвимостей
• Уметь проводить триаж и приоритизацию уязвимостей (рассказать разработке/DevOps в чем заключается уязвимость, чем она опасна, знать как закрыть и в каком порядке)
• Опыт работы с Hashicorp Vault, Mozilla Sops, Helm secrets
• Профильное образование по направлению информационная/компьютерная безопасность

БУДЕТ ПЛЮСОМ:

• Наличие профильных сертификаций: OSCP, CEH (Practical), OSWA, OSWE, BSCP (Burp Suite)
• Опыт CTF: HackTheBox, TryHackMe, Burp Suite Academy
• Знание основ безопасности k8s (CIS Kubernetes Benchmark)
• Опыт работы в качестве DevOps