Ведущий инженер (DevSecOps)

О компании

Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.
Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка.

Наша команда: более 900 сотрудников

• Мы предлагает своим сотрудникам разнообразные стек технологий и области применения.

Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды.

Рабочие задачи:

• Осуществлять встраивание инструментов безопасной разработки в конвейер непрерывной интеграции, доставки и развертывания. Формировать сценарии в инструментах автоматизации для шагов безопасной разработки (SAST, SCA, DAST)
• Осуществлять поддержку работоспособности пайпланов в части безопасной разработки
• Анализировать требования регуляторов и актуальных стандартов в части безопасной разработки и вносить предложения по изменениям
• Актуализировать применяемые инструменты безопасной разработки. Обновлять имеющиеся. Пилотировать новые. Осуществлять сравнение инструментов по требуемым характеристикам.
• Автоматизировать представление подтвержденных результатов командам
• Формировать инструкции по встраиванию инструментов безопасности для разработчиков и инженеров

Ваш опыт, навыки и личные качества:

• Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.

• Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии. Понимание сетевой модели OSI, знание основных протоколов.

• Понимание того как должна быть устроена безопасная разработка. Знакомство с ГОСТ 56939. Знание особенностей веб разработки и меры по обеспечению ее безопасности.

• Знакомство с OWASP Top 10, ASVS, WSTG, MASTG, Benchmark. Понимание способов популярных атак на веб-приложения. Умение сравнивать различные инструменты безопасности.

• Знакомство с CWE, CVE, CVSS.

• Понимание того как устроена современная разработка. Знакомство с методологий разработки (Agile). Понимание того как устроены непрерывная интеграция, непрерывная доставка и развертывание.

• Знакомство с системами контроля версий. Умение работать с Git.
• Умение работать с инструментами автоматизации, опыт формирования сценариев для запуска конвейера. Знакомство с Yaml и Json. Опыт написания скриптов на Bash или Python.

• Опыт встраивания инструментов безопасной разработки в конвейер DevSecOps (SAST, SCA, DAST).
• Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based). Опыт работы с docker (compose), kubernetes.

Мы предлагаем:

• Аккредитованная IT компания.
• Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования).
• Высокий профессионализм коллег и адекватное руководство.
• Официальное трудоустройство.
• 5-дневная рабочая неделя.
• Качественное обучение по платформе и процессам компании.
• У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется.
• Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.