DevSecOps Engineer / Инженер по обеспечению безопасной разработки

BI.ZONE создает IT-продукты для обеспечения кибербезопасности: от мобильных приложений до сложных платформ, в основе которых лежат методы машинного обучения. Благодаря нашим решениям жизнь десятков миллионов людей становится лучше и безопаснее.

Сейчас в команду мы ищем DevSecOps Engineer, который будет влиять на безопасность продуктов на всем жизненном цикле разработки и формировать современные практики DevSecOps в масштабах компании.

Чем предстоит заниматься:

• Внедрять инструменты и практики DevSecOps, интегрировать их с системами разработки, автоматизировать онбординг команд и обеспечивать непрерывный контроль защищенности приложений с использованием SAST, DAST, OSA, SCA, ASOC

• Внедрять и настраивать Quality Gate

• Разрабатывать автоматизации на Golang, Python и Bash

• Внедрять и развивать процессы Vulnerability Management

• Разрабатывать инструкции и методические материалы

• Проводить обучение и повышать осведомленность IT-команд в области информационной безопасности

• Разрабатывать проектную и техническую документацию

• Настраивать мониторинг и алертинг для уязвимостей, зависимостей и контейнерных образов

• Поддерживать и настраивать ASOC

• Выявлять типовые уязвимости по OWASP Top-10 и CWE-25 в исходном коде и помогать разработчикам в их устранении

• Обеспечивать повышение уровня безопасности контейнерной инфраструктуры

• Поддерживать требования compliance, включая ФСТЭК, ГОСТ 57580, ISO/IEC 27001, OWASP SAMM и ASVS

• Проверять лицензионную чистоту используемых библиотек и компонентов

• Проводить анализ применимости угроз и рисков информационной безопасности и формировать рекомендации по устранению уязвимостей

• Настраивать и обеспечивать безопасность пайплайнов в GitLab CI

• Работать со SBOM и выполнять подпись артефактов

Что для нас важно:

• Высшее техническое образование

• Опыт внедрения и эксплуатации security-сканеров

• Уверенное владение инструментами CI/CD

• Опыт работы с Docker, Kubernetes и Helm

• Опыт работы с Linux, GitLab, Nexus, Vault и Harbor

• Понимание принципов DevSecOps, SSDLC и Shift Left

• Глубокое понимание процессов разработки ПО, включая анализ исходного кода, сборку и компиляцию на различных языках программирования

• Знание архитектуры и принципов работы дистрибутивов Linux, системного и прикладного ПО

• Базовые знания сетевых технологий и стека TCP/IP

• Уверенная работа с командной строкой в Unix-системах

• Знание одного или нескольких языков программирования (предпочтительно GO/Python), включая компилируемые и интерпретируемые

• Умение самостоятельно планировать задачи и соблюдать сроки

Что нам также важно, но можем рассмотреть кандидатов и без этого:

• Опыт работы с Prometheus, Grafana, ELK или EFK, OpenTelemetry и интеграциями с SIEM

• Знание протоколов и стандартов безопасности, включая OAuth2, JWT и OpenID Connect

• Опыт работы с Keycloak, Ansible и Terraform

• Знание стандартов и требований OWASP SAMM, ASVS, ISO 27034, ГОСТ 57580, ФСТЭК и ГОСТ Р 56939-2024

• Опыт работы с инструментами АК-ВС3, Svace, Dependency Track и аналогичными

• Практический опыт внедрения Zero Trust и supply chain security

• Английский язык на уровне чтения технической документации

• Опыт внедрения и эксплуатации Secret Management

• Опыт моделирования угроз и понимание методологии STRIDE

• Понимание принципов микросервисной архитектуры

• Наличие профильных сертификатов в области информационной безопасности

Мы предлагаем:

Защищенность Все гарантии официального оформления по ТК РФ и преимущества аккредитованной IT-компании

Сообщества Регулярные профессиональные митапы и встречи для обмена опытом. А также сообщества по интересам: спорт, игры, книги, аниме

Гибкий график Никто не следит, когда сотрудник садится за компьютер, сколько часов проводит в офисе, как часто работает удаленно

Забота о здоровье ДМС со стоматологией c первого месяца работы в компании

Обучение Сертификация, профильные курсы, конференции, митапы, хакатоны, CTF-ы

Свободная атмосфера У нас на «ты», никакого дресс-кода и лишней бюрократии

Самореализация Поддержка креатива и воплощение идей. Можно профессионально расти и развивать личный бренд

Скидки на фитнес, покупки и многое другое

Скидки от BestBenefits, «Фитмост», «СберПрайм+»и других компаний-партнеров для всех сотрудников

Корпоративная жизнь Крутые внутренние мероприятия и участие в спортивных стартах, а еще мерч и подарки