DevSecOps Engineer

Мы продолжаем укреплять нашу команду и ищем опытного DevSecOps-инженера. Наша цель — сделать безопасность неотъемлемой частью всего жизненного цикла разработки и эксплуатации. Если вы видите себя не как "человек, который говорит "нет"", а как архитектор и инженер, встраивающий security в ДНК высоконагруженной платформы, — вам к нам.

Мы ищем специалиста, который:

• Имеет опыт работы в роли DevSecOps, Security Engineer или DevOps с сильным уклоном в security.
• Обладает глубокими знаниями в безопасности облачных сред (GCP, Yandex Cloud или других) и Kubernetes.
• Имеет практический опыт работы с инструментами SAST, SCA, анализаторами конфигураций (например, Checkov, Terrascan, Trivy, Grype, SonarQube и аналоги).
• Понимает концепции сетевой безопасности, модели угроз и методы атак на веб-приложения (OWASP Top 10) и инфраструктуру.
• Имеет навыки программирования/скриптования (Go, Python, Bash) для создания автоматизаций.
• Обладает проактивностью и инициативностью. Умеет самостоятельно находить точки риска, предлагать и внедрять решения, а не просто следовать инструкциям.
• Умеет понятно доносить идеи и обосновывать необходимость изменений как разработчикам, так и SRE.

Наш технологический стек:

• Инфраструктура:Managed Kubernetes, GCP, Yandex Cloud, Selectel.
• IaaC & CI/CD: Terraform, Terragrunt, GitLab CI.
• Сервисы и БД: Node.js, Go, PostgreSQL, ClickHouse, RabbitMQ, Redis.
• Сети: Cloud, Cilium, Linkerd (Service Mesh).
• Observability: Victoriametrics, Grafana, Tempo, Elasticsearch, OTLP, Pyroscope, Sentry.

Чем вы будете заниматься:

• Аудит и харденинг облачной инфраструктуры (GCP, Yandex Cloud, Selectel).

• Развитие безопасности IaC (Terraform, Terragrunt): статический анализ (SAST), проверка конфигураций на соответствие best practices и стандартам (CIS Benchmarks).

• Внедрение и управление политиками безопасности Kubernetes-кластеров.

• Интеграция инструментов безопасности в CI/CD (GitLab CI): SAST, SCA, анализаторы зависимостей для Go и Node.js.

• Автоматизация проверок контейнеров (CVEs, плохие практики) на этапе сборки и в реестре.

• Управление уязвимостями (Vulnerability Management): от обнаружения до приоритизации и контроля исправления.

• Настройка мониторинга безопасности и алертинга на основе нашего стека (Victoriametrics, Grafana, Elasticsearch).

• Участие в построении и анализе логики аудитинга для выявления аномалий и потенциальных атак.

• Разработка автоматизаций для security-проверок и ответа на инциденты (языки: Go, Python, Bash).

• Формирование и продвижение культуры безопасности (Security Champion) внутри компании.