Lead DevSecOps Enablement Platform (удаленная работа)
(вакансия в архиве)

Вакансия: Lead DevSecOps Enablement Platform

Описание вакансии

МТС Digital сердце цифровой экосистемы МТС. 12 гильдий инженеров, суперкомпьютер, системы видеоаналитики, IoT, собственная лаборатория AI и 20+ петабайт данных. Финтех, стриминг, гейминг, мобильные приложения, облачные сервисы. Каждый день мы работаем над тем, чтобы вывести мобильную и веб-разработку на новый уровень, благодаря сплоченным продуктовым командам и agile методологиям.

Мы ищем Lead DevSecOps в кластер, где предстоит выполнять различные задачи для обеспечения должного уровня технологической зрелости по направлению DevSecOps, которые делегируются от Центра Практик. Работа предполагает взаимодействие с руководителем направления в кластере, непосредственно с представителями команд разработки, изредка взаимодействие по матрице с лидерами безопасной разработки в продуктовых кластерах, а также профильными подразделениями (такими как Cloud, DevOps и др.)

Чем предстоит заниматься:

• анализировать ИТ-продукты в части ИБ, взаимодействовать с подразделениями ИБ в рамках анализа ИТ-продуктов и интеграций;

• разрабатывать технические требования по применению практик безопасной разработки;

• реализовать контроль dev/test/prod окружений в части complience требований и best practice;

• проводить разбор срабатываний сканеров (SAST/SCA/OSS/CS/DAST и т.п.) и тонкую настройку правил сканирований;

• помогать Devops с настройкой Kubernetes с точки зрения безопасности;

• участвовать в разработке решений, участвовать в ПСИ новых фич;

• разрабатывать гайды, инструкции, архитектурные и процессные схемы;

• участвовать в реализации концепции Zero-trust;

• участвовать в выстраивании взаимодействия продуктовых команд и команд DevSecOps/AppSec/ Архитектура ИБ;

• контролировать соблюдение практик безопасной разработки;

• контролировать соблюдение выставленных требований ИБ;

• осуществлять взаимодействие, оказывать экспертную поддержку руководителям кластеров и продуктовым командам по вопросам безопасной разработки;

• заниматься настройкой, интеграцией и развитием инструментов безопасности;

• исследовать вопросы безопасности различных технологий;

• участвовать в составлении и приоритизации беклога команд в части задач по ИБ.

Что мы ждем от кандидата:

• знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются
  Опыт разворачивания и применения инструментов безопасной разработки (SAST, DAST, SCA, ASOC, Container/Kubernetes Security);

• опыт построения и развития инженерных практик DevSecOps, их реализация в pipeline в качестве Security Gate;

• опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки;

• опыт работы с docker;

• опыт работы с одним или несколькими инструментами CI/CD (Gitlab - желательно/Teamcity/Jenkins/Ansible);

• опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, Jira, artifactory/harbor/nexus);

• понимание концепций Shift-Left, Zero-Trust, SSDLC;

• знание о современных структурах, методах и технологиях аутентификации/авторизации (OAuth 2.0,OIDC,JWT);

• опыт триажа уязвимостей по следующим языкам программирования (хотя бы минимальный): Python, Go, Java, JS, PHP;

• опыт работы с hashicorp vault.

Будет плюсом, если есть:

• опыт руководства командой от 3 человек;
• опыт работы с любым из инструментов: CheckMarx, Fortify, CodeQL, Semgrep, bandit, gosec, osv-scanner, Nexus IQ, Dependency Track, CodeScoring, Defect Dojo;
• опыт построения процессов SSDLC в организации с более чем 10 приложениями/продуктами;
• опыт разработки скриптов автоматизации рутины на языках Bash / Python / Go;
• понимание современной методологии и передовых практик построения систем безопасной разработки;
• понимание основ и особенностей сборщиков кода.

Что мы предлагаем:

• собственную платформу MTS Ocean для получения ИТ-ресурсов, а это значит, что деплой, мониторинг, observability - не будут для вас проблемой, вы сможете сосредоточиться на фичах;
• профессиональные гильдии инженеров по направлениям, чтобы поддерживать друг друга и обмениваться опытом;
• внутреннюю площадку TechTalks для обмена опытом, дискуссий, развития навыков самопрезентации;
• участие во внешних IT конференциях. Мы выступаем на HighLoad++, DataFest, Mobius, Test Driven Conf, Joker, DevOps, Матемаркетинг и даже проводим собственную конференцию по архитектуре Hello, conference;
• полезные курсы и вебинары в корпоративном университете и электронные библиотеки.

А еще:

• медицинскую страховку с 1 месяца со 100% покрытием расходов, включая стоматологию, страхование жизни и здоровья в поездках за рубеж. А еще можно застраховать родственников с корпоративной скидкой;
• доступ к сервису Понимаю : онлайн-консультации с психологом, юристом, экспертом по финансам или ЗОЖ;
• корпоративный и командный психолог в офисе и массажный кабинет;
• единую подписку МТС Premium KION light в онлайн-кинотеатре KION, сервис МТС Music, 30 дней бесплатного пользования подпиской OZON Premium;
• скидки и предложения от партнеров на фитнес, занятия английским и прочее;
• удобный формат работы: пятидневная рабочая неделя с пн по пт, а удобное время начала и окончания рабочего дня можно согласовать с руководителем;
• отпуск 28 календарных дней + 3 дополнительных дня за ненормированный рабочий день;

• в городах где есть офис МТС Диджитал можно работать в гибридном формате, удаленно при отсутствии офиса в городе.