Вакансия: DevSecOps
Описание вакансии
О команде: Мы Dodo Brands, компания, которая развивает такие бренды как Додо Пицца, кофейни Дринкит, IT-подразделение Dodo Engineering. Мы родом из России, но наши амбиции глобальны. Сегодня у нас более 1260 точек питания в 24 странах мира, включая Европейские, Азиатские страны и Нигерию.
Мы делаем ставку на IT и создаём Dodo IS единую информационную систему, включающую клиентский сайт, мобильное приложение, интерфейсы контакт-центра, трекинг заказов на кухне, учёт продуктов, аналитические инструменты и многое другое.
Нагрузка на нашу информационную систему удваивается каждый год: до 500 заказов в минуту в будни, 800 заказов в минуту в пики; 21 млн клиентов, MAU в среднем 3 млн; 40K+ сотрудников работает во всей сети; Маркетингу нужны новые фичи для клиентов, бизнесу для производства, а глобальные цели требуют инвестиций в качество, устранения технического долга, замены устаревающих технологий.
В этих условиях мы хотим чтобы наши сервисы работали безотказно, были защищены от атак, а данные наших клиентов никуда не утекали. Поэтому мы активно вкладываемся в защиту наших приложений и сейчас ищем к себе в штат опытного DevSecOps/AppSec специалиста, который поможет нашим разработчикам и командам инфраструктуры разрабатывать все более надежные и безопасные системы
Требования:
- Опыт настройки и использования различных инструментов анализа безопасности приложений, таких как SAST, DAST, сканеров безопасности и т.п.;
- Навыки работы с Kubernetes и понимание его особенностей;
- Понимание работы сетей;
- Опыт защиты больших enterprise-систем;
- Опыт работы с публичными облаками;
- Опыт выстраивания CI/CD в GitHub;
- Хорошее понимание основных типов проблем приложений (например OWASP Top 10);
- Умение и готовность общаться с людьми и помогать им.
Будет плюсом:
- Опыт работы пентестером, участие в Bug Bounty программах, или CTF челленджах;
- Опыт и экспертиза в роли Application Security специалиста;
- Знание языков программирования, таких как C# или Java;
- Глубокое понимание риск-ориентированных подходов при выстраивании процессов информационной безопасности.
Что предстоит делать:
- Развивать практики SSDLC, причем не только в наших прикладных приложениях, но и в инфраструктурном коде;
- Помогать в развитии систем мониторинга и реагирования на атаки на наши приложения;
- Выстраивать процессы вокруг безопасной интеграции со сторонними системами/подрядчиками;
- Поддерживать инструменты для безопасного и контролируемого доступа к элементам инфраструктуры;
- Изучать нашу инфраструктуру и приложения на предмет уязвимостей;
- При желании есть возможность погружаться во все остальные аспекты работы с информационной безопасностью: от WAF и Bug Bounty до аудитов ИБ в бизнес-подразделениях, или даже сменить род деятельности и стать, например, SRE. Несмотря на масштабы, мы не энтерпрайз и поощряем развитие в смежных областях и внутренние переходы.
Что мы предлагаем: - Гибкость строим гипотезы, спорим, договариваемся, адаптируемся;
- Международный продукт и развитие на новых рынках;
- Удаленная работа из любой точки мира с командировками в страны присутствия;
- Оплачиваем профильное обучение, купим билет на конференцию и необходимые книги;
- Помогаем публично выступить, прокачать тебя как автора статей, раскрутить в комьюнити;
- Частичная компенсация английского языка в Skyeng и сессий психолога в Alter;
- ДМС со стоматологией, с первого рабочего дня.
