Инженер DevSecOps

• Настройка, автоматизация и повышение эффективности и безопасности SAST, DAST, SCA, OSA, Penetration testing, Fuzzing проверок.

• Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков.

• Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний.

• Консультирование внутренних и внешних команд в вопросах организации SSDLC

• Участие в разработке архитектуры и создании платформы разработки безопасного ПО

• Опыт работы на аналогичной должности от 2х лет

• Понимание подхода SSDLC и стандартов РБПО

• Опыт автоматизации и внедрения:
  ○ SAST (Semgrep, SonarQube, KICS, GitLeaks)
  ○ SCA/OSS (OWASP DepTrack, Trivy, Grype)
  ○ DAST (OWASP ZAP, Nuclei, SQLMap)
  ○ Fuzzing (AFL++, LibFuzzer)
  ○ Vulnerability management (DefectDojo)

• Опыт администрирования Linux/Unix

• Хорошие знания и опыт работы c:
  ○ Контейнеризацией (Docker, Podman)
  ○ Виртуализацией (CGroups, Namespaces, KVM)
  ○ Оркестрацией (Docker-compose, Kubernetes, ArgoCD)

• Опыт работы с:
  ○ CI/CD (Jenkins, Gitlab CI и др.)
  ○ Cистемами мониторинга (Prometheus, Zabbix)
  ○ SCM (Ansible, Terraform)
  ○ SQL и базами данных
  ○ Secret management (Vault)
  ○ Package & Container Registry (Nexus, Gitlab)

• Опыт администрирования Nginx

• Опыт разработки и программирования на скриптовых ЯП (Bash, Python, JS)

• Уверенное понимание сетевых технологий, процессов и протоколов

​​​​​​