DevSecOps Engineer Senior Hybrid

DevSecOps, ООО «АФЛТ-Системс» ЗП: до 400 000 рублей net Уровень: Senior Формат работы: гибрид Город: Москва, м. Новокузнецкая (можем рассмотреть из других городов с учетом командировок в Москву) ООО «АФЛТ-Системс» – официально аккредитованная в Минцифры ИТ-компания, основанная в сентябре 2022 года. Входит в состав Группы компаний «Аэрофлот». Основное направление деятельности– внедрение, проектирование и реализация ключевых инициатив и проектов Группы компаний «Аэрофлот» в области информационных технологий. Чем предстоит заниматься: 1. Участие в проектировании архитектур CI/CD и процессов безопасной разработки: Участие в разработке и внедрении конвейеров CI/CD с учетом требований безопасности на каждом этапе. Определение оптимальных методов и технологий для реализации требований безопасности. 2. Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD-пайплайнах (как в существующих, так и в новых): Выбор и автоматизация инструментов безопасности в процессы непрерывной интеграции и доставки (CI/CD). Настройка и поддержка работы этих инструментов для обеспечения безопасности на всех этапах разработки и деплоя (размещения готовой версии программного обеспечения на платформе). Внедрение механизмов безопасности в системы непрерывной интеграции и доставки. 3. Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки: Тестирование и внедрение новых инструментов и методик для повышения безопасности. Развитие существующих процессов разработки для улучшения автоматизации выявления дефектов. 4. Стандартизация работы с уязвимостями: Участие в разработке и внедрение стандартов и процедур для выявления, устранения и управления уязвимостями. Обеспечение соблюдения этих стандартов всеми командами разработки. 5. Оценка уязвимости приложений/сервисов к различным атакам: Проведение тестов на проникновение и анализа уязвимостей. Оценка рисков и уязвимостей для различных типов атак. 6. Проведение Code Review: Взаимодействие с командами разработки для устранения потенциальных дефектов. Проведение демонстрации эксплуатации уязвимостей, выявленных в ходе Code Review и инструментами безопасности. Повышение осведомленности команд разработки по процессам безопасной разработки. 7. Построение модели угроз информационной безопасности приложений/сервисов и формирование предложений в части механизмов защиты: Участие в разработке моделей угроз для идентификации потенциальных рисков. Формирование предложений и рекомендаций по улучшению защиты. 8. Реализация задач по безопасности K8s: Выбор инструментов для выявления недостатков в конфигурации компонентов Kubernetes; Реализация мер безопасности для различных компонентов Kubernetes. Ваши навыки и опыт: • Опыт работы в области информационной безопасности или безопасной разработки; • Проектирование систем CI/CD-инфраструктуры; • Разработка требований к архитектуре; • Опыт разработки на Python и скриптов автоматизации; • Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов (AppSec/WebAppSec (SAST, DAST, SCA) и DevSecOps (SDLC/SSDLC, Kubernetes, Docker)); • Понимание того, как работают угрозы из OWASP Top 10, OWASP API Security Top 10, OWASP Mobile Top 10, CWE Top 25; • Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, OWASP SAMM и т.п.). Контакты: @evgeny_hr