DevSecOps инженер

DM Solutions – ИТ компания (интегратор). Мы создаем и внедряем программные решения для цифровой трансформации корпораций и государственных компаний.

Наши клиенты: Аэрофлот, АК Россия, Росатом и его дивизионы, Газпромнефть, Силовые машины, Росгосстрах, Ингосстрах, Дом.РФ, МТС и многие другие.

Мы активно растем, выстраиваем и совершенствуем наши процессы, запускаем новые проекты и направления бизнеса.

Мы ищем нового коллегу - DevSecOps инженера.

Мы предлагаем:

• Мы - аккредитованная ИТ компания;
• Быстрый процесс подбора: интервью с HR → встреча с нанимающим менеджером → проверка СБ → оффер. В среднем, прохождение всех этапов занимает 1-2 недели;
• Оформление: в соответствии ТК РФ. Можно подписывать документы через кадровый электронный документооборот;
• Выплаты: “белая” заработная плата, оплата больничных и отпусков, премии;

• Бенефиты: ДМС со стоматологией, компенсация профильных курсов и обучений;

• График работы: пн-пт, сб/вскр - выходные. Разные форматы работы по договоренности с руководителем: гибрид, офис. Согласование отсутствий без лишней бюрократии.

• Офис: в современном офисном центре Деловой квартал “Новоспасский” на ст.м.Павелецкая, 15 минут от метро.

И ещё у нас есть:

• Помощь в адаптации: назначим наставника, выдадим необходимую технику, составим и обсудим план работ;
• Профессиональный и карьерный рост: мы не сдерживаем амбиции, приветствуем готовность брать на себя ответственность и отвечать за результат;
• Лояльная и дружелюбная корпоративная культура: у нас крутые корпоративы и автопробеги, быстрые коммуникации;
• Сильный ТОП-менеджмент: руководители выполняют свои обязательства перед сотрудниками, готовы идти на диалог и искать решения вместе.

Основные задачи:

1. Внедрение и поддержка безопасной разработки (DevSecOps):

   • Интеграция инструментов безопасности (SAST, DAST, SCA, Fuzzing) в CI/CD (GitLab);

   • Проведение статического/динамического анализа кода, пентестов, компонентного анализа;

   • Анализ уязвимостей, подготовка отчетов, консультирование разработчиков;

   • Контроль выполнения требований (OWASP, ГОСТ Р 56939-2016, NIST);

   • Анализ и оценка рисков, связанных с безопасностью сетевых систем и продуктов компании;

   • Работа с инструментами для анализа уязвимостей в контейнерах;

   • Осуществление регулярного обновления и патчинга систем.

2. Поддержка сертификации ПО во ФСТЭК:

   • Обеспечение соответствия стандартам ФСТЭК;

   • Подготовка разделов по ИБ в документации;

   • Аудит процессов.

3. DevOps-поддержка инфраструктуры:

   • Администрирование Linux-серверов (Ubuntu, AstraLinux);

   • Настройка и управление кластерами Docker/Kubernetes/Helm;

   • Поддержка CI/CD, мониторинга (Prometheus, Grafana, ELK), СУБД (PostgreSQL, Redis, ClickHouse);

   • Настройка резервного копирования;

   • Взаимодействие со всеми участниками разработки продукта и смежных проектов.

4. Развертывание инфраструктуры у заказчика:

   • Сбор требований, проектирование безопасных решений;

   • Развертывание и настройка системного и прикладного ПО;

   • Настройка Kubernetes, брокеров сообщений (Kafka, RabbitMQ), обеспечение отказоустойчивости;

   • Разработка необходимой проектной документации или соответствующих разделов документации;

   • Составление требований к оборудованию;

   • Участие в расчетах сайзинга для продукта и смежных проектов;

   • Консультирование команды по техническим вопросам в части Unix/Сетей/Инфраструктуры.

Будем рады познакомиться, если у тебя есть:

• Владение инструментами безопасности: SAST, DAST, SCA, Fuzzing;

• Уверенное владение CI/CD; мониторинг: Prometheus, Grafana, ELK;

• Опыт администрирования: Linux (Ubuntu/CentOS/AstraLinux), Docker, Kubernetes, Helm;

• Знание языков автоматизации: Python/Bash/PowerShell;

• СУБД: PostgreSQL (отказоустойчивые кластеры), Redis. ClickHouse (ArenaData QuickMarts);

• Опыт работы с брокерами сообщений: Kafka/RabbitMQ;

• Опыт работы со стандартами: OWASP Top-10, NIST, ГОСТ Р 56939-2016, требования ФСТЭК.

Будет преимуществом:

• Знание методик пентестинга;
• Опыт работы с open-source решениями для защиты;
• Профильные сертификации: CEH, CISSP, OSCP, или курсы по DevSecOps.