AppSec/DevSecOps инженер

Показать контакты

Описание вакансии

Обязанности:

Разрабатывать и поддерживать в актуальном состоянии требования по безопасности для приложений, инфраструктуры и процессов разработки.
Участвовать в проектировании безопасной архитектуры приложений и сервисов. Проводить анализ угроз (Threat Modeling), проверять архитектуру на ранних этапах, предлагать защитные меры.
Внедрять подход «безопасность как код». Инфраструктура как код (Terraform, Ansible, OpenTofu) с автоматической проверкой безопасности, политики безопасности как код (Open Policy Agent, Conftest и аналоги), безопасное хранение и автоматическая ротация секретов, паролей, сертификатов (HashiCorp Vault и аналоги), защита репозиториев и процессов доставки кода (GitOps, подпись коммитов, контроль доступа).
Автоматизировать безопасность в CI/CD пайплайнах. SAST, SCA, DAST / IAST, сканирование контейнеров и образов, проверка конфигураций инфраструктуры.
Настраивать и поддерживать централизованные дашборды безопасности и автоматические отчёты.
Ежемесячно предоставлять в службу информационной безопасности объективные метрики по безопасности разработки и эксплуатации (среднее время устранения уязвимостей, количество критических уязвимостей, процент покрытия проверками и т.д.).
Проводить ручные проверки и тестирование на проникновение веб-приложений, API и административных панелей (Битрикс, Node.js/React и др.).
Выявлять типовые уязвимости (OWASP Top-10 и др.), помогать разработчикам и devops инженерам их устранять. Участвовать в код-ревью, проводить парное программирование, консультировать.
Участвовать в расследовании инцидентов, связанных с приложениями, цепочками поставки или конвейерами разработки.
Разрабатывать и поддерживать сценарии автоматического реагирования на типовые инциденты (ansible плейбуки, скрипты).
Обучать разработчиков безопасной разработке. Проводить внутренние лекции и митапы, готовить инструкции и рекомендации под используемые технологии компании.
Выступать экспертом по безопасности внутри команд разработки и devops. Отвечать на вопросы, помогать ежедневно, участвовать в планировании спринтов.
Вести техническую и регламентную документацию по своим направлениям, поддерживать в актуальном состоянии базу знаний компании по безопасности приложений и процессов DevSecOps.
Следить за новыми уязвимостями и угрозами, которые затрагивают используемый технологический стек, оперативно инициировать и контролировать их устранение.

Требования:

Опыт работы в качестве AppSec/DevSecOps инженера от 3 лет

Опыт работы в команде по поддержке от 100 серверов

Знание языков программирования (PHP, Python) и фреймворков (Laravel);
Уверенные знания Linux (администрирование, shell scripting);
Опыт работы с инструментами безопасной разработки (SAST, DAST, SCA, ASOC, CA), опыт внедрения и администрирования инструментального стека;
Знание работы веб-серверов (Nginx, Apache).
Опыт построения PipeLine для разработки ПО;
Знание распространенных угроз и атак;
Опыт использования инструментов: Metasploit, Nessus, Wireshark.
Знание и понимание стека протокола TCP/IP (Основные: HTTP(s), LDAP(s), SSH, RDP, SMTP, SFTP и т.п);
Навыки моделирования угроз;
Опыт работы с CI/CD (GitLab CI, Jenkins, и др.);
Понимание процессов DevOps и Secure SDLC;
Знание Docker, Kubernetes, Ansible;
Знание принципов сетевой безопасности и управления доступом;
Понимание принципов SBOM и управления зависимостями
Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике;
Опыт работы с системами тикетов (Jira, Интрасервис);
Понимание принципов STLC;
Знание протоколов MQTT, CoAP;
Опыт работы с песочницами;
Навыки разработки, анализа чужого кода и проведения security code review;
Опыт разработки проектной документации;
Опыт внедрения или сопровождения РБПО;
Понимание требований ГОСТ 56939-2024.