Вакансия: AppSec/DevSecOps инженер
Описание вакансии
Обязанности:
- Разрабатывать и поддерживать в актуальном состоянии требования по безопасности для приложений, инфраструктуры и процессов разработки.
- Участвовать в проектировании безопасной архитектуры приложений и сервисов. Проводить анализ угроз (Threat Modeling), проверять архитектуру на ранних этапах, предлагать защитные меры.
- Внедрять подход безопасность как код . Инфраструктура как код (Terraform, Ansible, OpenTofu) с автоматической проверкой безопасности, политики безопасности как код (Open Policy Agent, Conftest и аналоги), безопасное хранение и автоматическая ротация секретов, паролей, сертификатов (HashiCorp Vault и аналоги), защита репозиториев и процессов доставки кода (GitOps, подпись коммитов, контроль доступа).
- Автоматизировать безопасность в CI/CD пайплайнах. SAST, SCA, DAST / IAST, сканирование контейнеров и образов, проверка конфигураций инфраструктуры.
- Настраивать и поддерживать централизованные дашборды безопасности и автоматические отчёты.
- Ежемесячно предоставлять в службу информационной безопасности объективные метрики по безопасности разработки и эксплуатации (среднее время устранения уязвимостей, количество критических уязвимостей, процент покрытия проверками и т.д.).
- Проводить ручные проверки и тестирование на проникновение веб-приложений, API и административных панелей (Битрикс, Node.js/React и др.).
- Выявлять типовые уязвимости (OWASP Top-10 и др.), помогать разработчикам и devops инженерам их устранять. Участвовать в код-ревью, проводить парное программирование, консультировать.
- Участвовать в расследовании инцидентов, связанных с приложениями, цепочками поставки или конвейерами разработки.
- Разрабатывать и поддерживать сценарии автоматического реагирования на типовые инциденты (ansible плейбуки, скрипты).
- Обучать разработчиков безопасной разработке. Проводить внутренние лекции и митапы, готовить инструкции и рекомендации под используемые технологии компании.
- Выступать экспертом по безопасности внутри команд разработки и devops. Отвечать на вопросы, помогать ежедневно, участвовать в планировании спринтов.
- Вести техническую и регламентную документацию по своим направлениям, поддерживать в актуальном состоянии базу знаний компании по безопасности приложений и процессов DevSecOps.
- Следить за новыми уязвимостями и угрозами, которые затрагивают используемый технологический стек, оперативно инициировать и контролировать их устранение.
Требования:
Опыт работы в качестве AppSec/DevSecOps инженера от 3 лет
Опыт работы в команде по поддержке от 100 серверов
- Знание языков программирования (PHP, Python) и фреймворков (Laravel);
- Уверенные знания Linux (администрирование, shell scripting);
- Опыт работы с инструментами безопасной разработки (SAST, DAST, SCA, ASOC, CA), опыт внедрения и администрирования инструментального стека;
- Знание работы веб-серверов (Nginx, Apache).
- Опыт построения PipeLine для разработки ПО;
- Знание распространенных угроз и атак;
- Опыт использования инструментов: Metasploit, Nessus, Wireshark.
- Знание и понимание стека протокола TCP/IP (Основные: HTTP(s), LDAP(s), SSH, RDP, SMTP, SFTP и т.п);
- Навыки моделирования угроз;
- Опыт работы с CI/CD (GitLab CI, Jenkins, и др.);
- Понимание процессов DevOps и Secure SDLC;
- Знание Docker, Kubernetes, Ansible;
- Знание принципов сетевой безопасности и управления доступом;
- Понимание принципов SBOM и управления зависимостями
- Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике;
- Опыт работы с системами тикетов (Jira, Интрасервис);
- Понимание принципов STLC;
- Знание протоколов MQTT, CoAP;
- Опыт работы с песочницами;
- Навыки разработки, анализа чужого кода и проведения security code review;
- Опыт разработки проектной документации;
- Опыт внедрения или сопровождения РБПО;
- Понимание требований ГОСТ 56939-2024.
Условия:
г.Москва Зорге, 1, стр.1 (гибридный график) или удаленная работа
большая стабильная компания с разветвленной инфраструктурой
дружный коллектив
большое поле для развития и самореализации
работа в стабильной компании с ясным будущим
обучение и профессиональное развитие, внутренние и внешние курсы и тренинги
публичная оценка выдающихся результатов и призы для победителей на корпоративной Премии Признание
справедливое вознаграждение и премирование по системе KPI
планирование карьеры в Издательской группе
социальный пакет: бесплатный тренажёрный зал, скидки на книги, ДМС после 6 месяцев работы
