Инженер DevSecOps

iiko — российская компания-разработчик ПО для автоматизации ресторанов. Более 52 000 заведений в РФ и ЕАЭС, в том числе более половины всех ресторанов России используют iiko.

Мы стремимся создать лучшее в мире решение для управления ресторанным бизнесом.

Расширяем команду ИБ и приглашаем в штат инженера DevSecOps для работы с блоком разработки программного обеспечения.

Преимущества нашей вакансии:

• У вас будет возможность участвовать в создании крутого продукта, который уже используют миллионы пользователей и который при этом продолжает активно развиваться
• Будут разнообразные задачи, возможности для непрерывного профессионального роста
• Будет возможность карьерного роста и выстраивания своей команды
• А еще будет свобода и скорость принятия решений, а так же минимум бюрократии

Ваши задачи:

1. Сопровождение ЖЦ разработки продуктов компании по вопросам ИБ:

• Участие в разработке архитектуры и создании платформы разработки безопасного ПО;
• Участие в моделировании угроз;
• Участие в формировании требований ИБ к продукту;
• Участие в приемо-сдаточных испытаниях.

1. Настройка, автоматизация и повышение эффективности и безопасности SAST, DAST, SCA, OSA, CS, Penetration testing, Fuzzing проверок.
2. Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний.
3. Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков.
4. Формирование компетенций в области ИБ у команд разработки.

• Консультирование внутренних и внешних команд разработки в вопросах организации SSDLC.
• Помощь в разработке безопасного кода и внедрении практик безопасной разработки;

Ожидания от кандидата:

1. Высшее образование в области информационных технологий или информационной безопасности.
2. Знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются.
3. Опыт разворачивания и применения инструментов безопасной разработки (SAST, DAST, SCA, OSA, ASOC, Container/Kubernetes Security);
4. Опыт построения и развития инженерных практик DevSecOps, их реализация в pipeline в качестве Security Gate;
5. Опыт работы с Docker, k8s;
6. Опыт работы с одним или несколькими инструментами CI/CD (Gitlab - желательно/Teamcity/Jenkins/Ansible);
7. Опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, Jira, artifactory/harbor/nexus);
8. Понимание концепций Shift-Left, Zero-Trust, SSDLC;
9. Знание о современных структурах, методах и технологиях аутентификации/авторизации;
10. Опыт работы с hashicorp vault.
11. Понимание принципов построения процесса DevSecOps в компании-разработчике ПО от двух лет.
12. Понимание принципов работы современных веб-приложений, микросервисной архитектуры, контейниризированных приложений, процессов CI/CD.
13. Опыт триажа уязвимостей по следующим языкам программирования (хотя бы минимальный): .Net, PHP, Java;
14. Опыт создания и внедрения политик/правил для инструментов безопасной разработки.

Будет преимуществом:

• Опыт расследования инцидентов;
• Опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки, а так же опыт управления небольшой командой ИБ;
• Знание стандартов, фреймворков и лучших мировых практик по разработке защищенного программного обеспечения (BSIMM, SAMM, ASVS и т.д.);
• Знание английского на уровне чтения технической документации;
• Знание и практическое применение современных средств, систем и методик защиты информации веб-приложений.
• Знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта.

Мы предлагаем вам:

• Работу в современной демократичной IT компании. Наличие IT аккредитации.
• Сотрудничество по TК РФ с первого дня по бессрочному трудовому договору. Возможна удаленная работа по мск часовому поясу.
• ЗП в рынке, учтем ваши пожелания.
• Гибкое начало рабочего дня до 11.00.
• Оплата спортклуба, онлайн школы английского, медицинской страховки.