DevSecOps-инженер

Экосистема для бизнеса Контур помогает клиентам тратить меньше времени на рутину, делает общение с контрагентами проще и прозрачнее. Благодаря нашим сервисам более 2,3 млн клиентов быстро и удобно сдают отчетность государству, обмениваются документами с поставщиками и проверяют партнеров.

Сейчас наша команда финтеха модернизирует инфраструктуру и процессы, работает над интеграцией банковских услуг и нефинансовых продуктов Контура. У нас много интересных, нетривиальных задач. Инженер будет заниматься перспективным направлением DevSecOps.

Технологический стек

Kotlin, Spring, Gradle, Kubernetes, Docker, Hibernate, React JS, React Native, Gitlab, Graphite, Grafana, Moira, ClickHouse, Elastic, Kibana, Pandora.

Чем предстоит заниматься

• Участие в построении процесса безопасной разработки приложений: интеграция в pipeline разработки уже принятых в Контуре безопасных практик и методов, контроль ошибок, выявляемых при разработке, согласование с разработчиками критериев допустимости незначительных ошибок, выявление ложноположительных ошибок, контроль управления секретами, контроль процесса сборки приложений.
• Формирование единого информационного пространства между командой разработки и отделом безопасности разработки.
• Управление техническим долгом ИБ.
• Консультирование команды разработки по вопросам ИБ.
• Настройка и сопровождение инструментов SAST, DAST, mDAST, IAST, SCA.
• Отслеживание отчетов, CVE, реагирование на срабатывание false positive.
• Оценка задач разработки с точки зрения влияния на ОУД/ИБ.
• Сопровождение и автоматизация тестирования модулей безопасности ПО.

Наши ожидания

• Незаконченное высшее или высшее образование по специальности информационная безопасность.
• Знание инструментов практик AppSec (SAST, DAST, SCA).
• Умение читать и составлять документацию, связанную с описанием функций безопасности приложения.
• Общего понимания, как внедрить и сопровождать безопасный цикл разработки ПО, знания российских и международных подходов в этой области.
• Знания и умения искать типовые уязвимости, характерные для веб-приложений.

Что мы готовы предложить

• Уровень дохода, который зависит от ваших технических знаний и навыков. Раз в полгода мы пересматриваем зарплаты в зависимости от вашего роста в качестве инженера.
• Гибкий рабочий график. Нам важна выполненная задача, а не работа с 9:00 до 18:00.
• Пространство для инжиниринга и творчества. Хотите сделать статью на Хабре — у нас есть корпоративный блог, а с текстом статьи смогут помочь наши деврелы. Хотите выступить на конференциях — поможем попасть и подготовиться. Еще сами делаем конференции и митапы: от вас — инициатива и выступление, от нас — общая организация ивента и площадка. Проекты в опенсорсе у нас тоже есть.
• Движухи на уровне всей компании. Техническая конференция всех программистов — Конфур, летучки и обмен опытом между командами, общие праздники.
• Комфортный офис в Екатеринбурге или гибридный формат. Обеспечим комфортом, зонами отдыха, кухней с полезным перекусом, библиотеками с профессиональной литературой.
• Мы всегда на «ты». Максимум горизонтальных связей в коллективе, чтобы быстрее договариваться и решать рабочие задачи. А еще у нас есть инженерный совет, который придумывает и реализует проекты для улучшения жизни инженеров в компании, и в него можно попасть.