DevSecOps-инженер

Дата размещения вакансии: 22.11.2024
Работодатель: Лига Цифровой Экономики
Уровень зарплаты:
з/п не указана
Город:
Москва
Требуемый опыт работы:
От 3 до 6 лет

Проект по организации процесса безопасной разработки кода на всех этапах жизненного цикла программного обеспечения для крупного европейского Банка

Что нужно делать:

  • Формировать культуру DevSecOps в Банке
  • Формировать правила и подходы, обеспечивающих безопасность (OWASP DevSecOps guideline): кода (Custom Code Security), цепочек поставок (Supply Chain Security), среды исполнения (Runtime Protection)
  • Выстраивать процесс анализ состава программного обеспечения (SCA,SBOM)
  • Внедрять инструменты и процессы анализа уязвимостей и угроз (SAST, DAST)
  • Сотрудничать с командами разработки, эксплуатации, безопасности в части внедрения sec-инструментов
  • Участвовать в расследовании инцидентов информационной безопасности

Мы ждем от тебя:

  • Опыт в разработке требований ИБ для процесса разработки (SDLC), CI/CD-конвейера, инфраструктуры
  • Опыт в написании методических требований/рекомендаций по встраиванию AppSec инструментов в цикл разработки/эксплуатации
  • Участие в конфигурировании ИБ-инструментов с последующим встраиванием их в процесс разработки (SDLC), а так же участие в процессе обновления (переход на свежие версии) всех компонентов SDLC (в т.ч. инфраструктурных)
  • Опыт реализации автоматизированных проверок требований безопасности контейнерных сред/приложений и консультация команд по устранению замечаний со стороны безопасности
  • Опыт в реализации требований PCI DSS для в части взаимодействия приложений с карточным центром
  • Опыт в разработке харденинг-шаблонов для kubernetes кластеров, согласно требованиям по безопасности информации к средствам контейнеризации от ФСТЭК (6 класс), а так же аудит и корректировка сетевых политик в kubernetes кластерах
  • Умение выстраивать процессы работы с уязвимостями (отслеживание, планирование изменений, выдержка срока устранения)
  • Практические навыки разработки пороговых значений Quality gates в статических анализаторах кода, разработка политик

Что мы обеспечим:

  • Команду профессионалов, где каждый увлечен своим делом и готов поделиться экспертизой
  • Работу в удобном для вас формате работы
  • Корпоративную культуру со своими ценностями и традициями, в которой каждый чувствует себя частью команды!
  • Сессии профессионального развития дважды в год, результатом которой является план индивидуального развития каждого сотрудника и получение обратной связи