Ведущий инженер (DevSecOps)
О компании
Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.
Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка.
Наша команда: более 900 сотрудников
- Мы предлагает своим сотрудникам разнообразные стек технологий и области применения.
Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды.
Рабочие задачи:
- Осуществлять встраивание инструментов безопасной разработки в конвейер непрерывной интеграции, доставки и развертывания. Формировать сценарии в инструментах автоматизации для шагов безопасной разработки (SAST, SCA, DAST)
- Осуществлять поддержку работоспособности пайпланов в части безопасной разработки
- Анализировать требования регуляторов и актуальных стандартов в части безопасной разработки и вносить предложения по изменениям
- Актуализировать применяемые инструменты безопасной разработки. Обновлять имеющиеся. Пилотировать новые. Осуществлять сравнение инструментов по требуемым характеристикам.
- Автоматизировать представление подтвержденных результатов командам
- Формировать инструкции по встраиванию инструментов безопасности для разработчиков и инженеров
Ваш опыт, навыки и личные качества:
-
Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов.
-
Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии. Понимание сетевой модели OSI, знание основных протоколов.
-
Понимание того как должна быть устроена безопасная разработка. Знакомство с ГОСТ 56939. Знание особенностей веб разработки и меры по обеспечению ее безопасности.
-
Знакомство с OWASP Top 10, ASVS, WSTG, MASTG, Benchmark. Понимание способов популярных атак на веб-приложения. Умение сравнивать различные инструменты безопасности.
-
Знакомство с CWE, CVE, CVSS.
-
Понимание того как устроена современная разработка. Знакомство с методологий разработки (Agile). Понимание того как устроены непрерывная интеграция, непрерывная доставка и развертывание.
- Знакомство с системами контроля версий. Умение работать с Git.
- Умение работать с инструментами автоматизации, опыт формирования сценариев для запуска конвейера. Знакомство с Yaml и Json. Опыт написания скриптов на Bash или Python.
- Опыт встраивания инструментов безопасной разработки в конвейер DevSecOps (SAST, SCA, DAST).
- Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based). Опыт работы с docker (compose), kubernetes.
Мы предлагаем:
- Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования).
- Высокий профессионализм коллег и адекватное руководство.
- Официальное трудоустройство.
- 5-дневная рабочая неделя.
- Качественное обучение по платформе и процессам компании.
- У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется.
- Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.