Devsecops инженер

Мы - крупнейший ритейлер в офлайне и онлайне в РФ.

• 3 страны присутствия

• более 1300 магазинов

• более 440 городов

• 300 000 заказов в сутки

• 2 Gb/s, 12K RPS на базовые сервисы

• до 1.5 млн уникальных пользователей в сутки, более 6 млн в месяц

• 30+ сервисов

• 10+ продуктов

Ищем в команду Специалиста по безопасности разработки приложений.

Задачи:

• Анализ текущего состояния безопасности:
  1. Выявление уязвимостей в процессе разработки
  2. Определение уровня зрелости
• Разработка политик, правил технических требований к интеграции с репозиториями исходного кода и системами разработки
• Обучение и интеграция с командами:
  1. Консультирование и поддержка команд разработки по вопросам безопасности и практикам написания безопасного кода
  2. Внедрение практик безопасной разработки
• Внедрение улучшений в CI/CD пайплайны:
  1. Настройка анализаторов и проведение сканирования исходных кодов, приложений (SAST/DAST)
  2. Автоматизация проверок безопасности
  3. Выявления ложных срабатываний, разработка/корректировка правил
  4. Устранение выявленных проблем безопасности
• Оценка эффективности процесса:
  1. Разработка метрик безопасности
  2. Подготовка отчетов об уязвимостях и рекомендаций по их устранению
  3. Документирование процессов
• Участие в разработке проектной, эксплуатационной документации, подготовке инструкций и формирования базы знаний
• Участие в проектировании и поддержке безопасной IT-архитектуры компании, разработка стратегии развития DevSecOps-практик

Требования к кандидату:

• Образование высшее техническое ИТ или ИБ
• Знание и опыт администрирования Linux-систем
• Опыт работы на должностях: инженер, специалист по направлению AppSec/DevSecOps от 2-х лет
• Опыт внедрения, администрирования и сопровождения решений DevSecOps, Application Security, понимание принципов CI/CD
• Опыт участия в проектах внедрения решений по безопасной разработке, в частности в построении, внедрении, поддержки и модернизации подходов SSDLC или DevSecOps
• Знание фреймворков оценки зрелости безопасной разработки ПО (BSIMM, SAMM, DAF)
• Опыт работы с решениями класса SAST, DAST, опыт анализа и интерпретации отчетов об обнаруженных уязвимостях
• Практический опыт работы с Docker, Kubernetes, GitHab, Jenkins, Red Hat OpenShift, Trivy, Sempgrep, Kyverno, CodeQL, DefectDojo, HashiCorp Vault
• Умение писать скрипты для автоматизации задач (например, bash, Python)
• Английский язык (чтение технической литературы)

Будет плюсом:

• Знания требований законодательства в области безопасной разработки (соответствующие требования 239 приказа ФСТЭК, ОУД4, ГОСТ 71207-2024, ГОСТ Р ИСО/МЭК 15408-3-2013 и др.)
• Опыт построения CI/CD с использованием DevSecOps продуктов
• Опыт работы с одним или несколькими языками программирования: Java/Kotlin, JavaScript, Python, Go
• Опыт работы с API и сборки контейнеров
• Опыт разработки проектных решений и рабочей документации

Мы предлагаем:

• Оформление в аккредитованную ИТ-компанию
• Комфортный офис в пешей доступности от м./МЦК Окружная
• График работы 5/2 с 10.00 до 18.30, возможен гибридный формат работы
• Профессиональное обучение и сертификации за счёт компании
• Достойный уровень дохода
• Расширенный полис ДМС, включая стоматологию
• Хорошая техническая оснащенность