DevSecOps

Обязанности

  • Участвовать в развитии практик DevSecOps в рамках имеющегося зрелого процесса безопасной разработки (анализ и повышение эффективности используемых практик, внедрение новых практик);
  • Работать с инструментами SAST/SCA/DAST и развивать внутреннюю экспертизу по этим и другим направлениям (разработка правил, конфигурация, автоматизация);
  • Обеспечивать безопасность классических CI/CD конвейеров;
  • Реализация проектной деятельности в области проектирования, развертывания, и сопровождения средств защиты информации (SIEM, 2FA, антивирусные платформы, MDM/UEM решения, EDR и DLP системы);
  • Реализация проектной деятельности по внедрению новых механизмов безопасности в существующую инфраструктуру с учетом требований отдела безопасности;
  • Проведении динамического и статического анализа исходного кода программных продуктов (SAST, DAST);
  • Проведение фаззинг тестирования ПО;
  • Проведение компонентного анализа;
  • Проведение тестов на проникновение;
  • Анализ результатов работы сканеров, подготовка отчетов, работа с командами разработки;
  • Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков;
  • Подготовка рекомендаций по устранению уязвимостей в продуктах компании;
  • Работа с системами CI/CD;
  • Участие в формировании требований ИБ к продукту, в моделировании угроз;
  • Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний;
  • Консультирование внутренних и внешних команд разработки в вопросах организации SDLC;
  • Архитектурные ревью: Проведение архитектурных ревью и формирование требований безопасности к новым фичам на этапах проектирования и тестирования;

Знания и навыки

  • Знание Gitlab CI/CD;
  • Понимание основы DevSecOps - Shift Left, Self Service, Everything as code, Secure by default;
  • Знание практик из DSOMM;
  • Знание основных проблем/подходов к обеспечению безопасности Kubernetes;
  • Знание подхода DevSecOps и понимание построения процесса безопасной разработки;
  • Знание и опыт работы с Kubernetes;
  • Знание языков программирования;
  • Знание и опыт работы с Gitlab, Kubernetes, Docker, Rancher, Harbor, Terraform, HELM;
  • Знание стандартов и лучших практик по обеспечению безопасности ПО и выявлению уязвимостей (NIST, OWASP, ФСТЭК, OWASP SAMM, Microsoft SDL);
  • Знания и навыки работы с основными операционными системами на профессиональном уровне администратора (Windows, Linux);
  • Знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются;
  • Понимание принципов микросервисной архитектуры приложений;
  • Понимание принципов SSDLC, знание современных угроз для веб- и мобильных приложений, включая OWASP Top 10 и OWASP Mobile;
  • Владение Python;
  • Владение Docker и Linux;
  • Опыт работы с Kubernetes и Helm;
  • Опыт работы с инструментами автоматизированного анализа безопасности исходного кода - поиск секретов (GitLeaks, Trufflehog), поиск уязвимостей (bandit, brakeman, semgrep, коммерческие решения), поиск уязвимых библиотек (dependency track, trivy);
  • Опыт внедрения Security сканеров и внедрения их в пайплайны разработки;
  • Навыки и стабильный опыт в области проектирования, развертывания с нуля и сопровождения средств защиты информации (SIEM, 2FA, антивирусные платформы, MDM/UEM решения, EDR и DLP системы, WAF и другие средства по контролю и мониторингу сетевого трафика) на корпоративном уровне;
  • Понимание и практический опыт работы с экосистемой Windows в корпоративной среде (Active Directory, Почтовые шлюзы, и другие сервисы)
  • Практический опыт работы с AWS (создание, поддержка инфраструктуры и внедрение систем безопасности);
  • Навыки Ansible;
  • Навыки автоматизации с помощью скриптовых язызков (Python, Bash, PowerShell). Вы умеете и любите автоматизировать;
  • Навыки в поддержке систем инвентаризации и создания соответствующих процессов;
  • Понимание принципов и практический опыт анализа безопасности инфраструктурных сред (Active Directory, Linux, Cloud);
  • Навыки и знания в области разработки безопасной архитектуры систем;
  • Понимание принципов эксплуатации различных уязвимостей (web, mobile, supply chain, LLM), причин их возникновения и возможных способов их устранения;
  • Владение Linux на уровне администратора: конфигурация сервисов, траблшутинг, работа с утилитами командной строки;
  • Опыт работы с Docker, Kubernetes;
  • Умение разбираться в чужом коде (Java/Kotlin, JS/TS, .NET, Go);
  • Умение автоматизировать рутинные задачи;
  • Опыт разработки и конфигурации пайплайнов CI/CD (Jenkins, Gitlab);
  • Опыт разворачивания и применения инструментов безопасной разработки (SAST, DAST и других);
  • Опыт работы с одним или несколькими инструментами CI/CD (Git/AzureDevOps);
  • Опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, AzureDevOps);
  • Опыт внедрения и использования инструментов DevSecOps (semgrep, CodeQL, trivy, OWASP ZAP, nuclei и др.);
  • Понимание принципов построения процесса DevSecOps в компании-разработчике ПО;
  • Понимание принципов работы современных веб-приложений, процессов CI/CD;
  • Уверенное знание ГОСТ 56939-2016, регламентирующих документов ФСТЭК и ФСБ в части сертификации программного обеспечения;

Будет преимуществом

  • Знание стандартов, фреймворков и лучших мировых практик по разработке безопасного программного обеспечения;
  • Знание и практическое применение современных средств, систем и методик защиты информации веб-приложений;
  • Знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта;
  • Понимание циклов SSDLC, DevSecOps;
  • Опыт работы с инструментами АК-ВС3, Svace, Dependency-Track и аналогичными;
  • Опыт расследования инцидентов;
  • Опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки, а также опыт управления небольшой командой ИБ;