DevSecOps Engineer

«Цифровая крепость ВЭБа» — инновационный блок крупнейшей финансовой организации, занимающийся обеспечением высокого уровня информационной безопасности и защиты данных в цифровой среде.

Сейчас команда в поисках DevSecOps инженера

Что нужно делать:

• Развивать DevSecOps-подходы в процессах CI/CD
• Настраивать мониторинг и алертинг для уязвимостей, зависимостей и контейнерных образов
• Разрабатывать и поддерживать политики безопасности для инфраструктуры и приложений
• Автоматизировать процессы проверки безопасности кода и инфраструктуры (IaC security)
• Взаимодействовать с командами разработки, тестирования и информационной безопасности
• Поддерживать compliance-требования (ФСТЭК, ГОСТ 57580, ISO/IEC 27001, OWASP SAMM/ASVS)
• Обучать команды разработчиков принципам secure coding и работе с инструментами безопасности.

Что мы ожидаем:

• Опыт работы в DevOps или инфраструктурной разработке от 3 лет
• Опыт интеграции решений по безопасности в CI/CD (GitLab CI, Jenkins, GitHub Actions, Azure DevOps)
• Знание и опыт работы с инструментами безопасности:
• • SAST: SonarQube, Fortify, Checkmarx
• • DAST: OWASP ZAP, Burp Suite
• • SCA/Dependency check: OWASP Dependency-Check, Trivy, Anchore
• • Secrets scanning: GitLeaks, Detect Secrets
• • Container scanning: Trivy, Clair, Aqua
• Знания сетевых протоколов, фреймворков и стандартов безопасности (OAuth2, JWT, OpenID Connect и др.)
• Понимание криптографических протоколов и базовых средств защиты инфраструктуры
• Понимание KeyCloack, HashiCorpVault, Kubernetes, Docker, Helm, Ansible, Terraform
• Понимание основных уязвимостей (OWASP Top 10, CWE/SANS 25)
• Знание стандартов и требований: OWASP SAMM/ASVS, ISO 27034, ГОСТ 57580, ФСТЭК
• Опыт работы с системами логирования и SIEM-решениями (ELK, Splunk, Wazuh)
• Системное мышление и внимательность к деталям
• Умение работать в связке «разработка — безопасность — эксплуатация»
• Навыки внедрения изменений и аргументации ценности DevSecOps для бизнеса
• Лидерские качества, готовность обучать и развивать коллег.

Будет плюсом:

• Опыт работы в проектах по сертификации ФСТЭК
• Наличие сертификатов: CSSLP, GWEB, OSCP, CKA/CKS
• Опыт разработки на одном из языков (Python, Go, Java, C/C++)
• Опыт внедрения Zero Trust и supply chain security.

Пять причин работать в команде ВЭБ.РФ:

• В ВЭБ.РФ ты найдешь профессиональные вызовы и надежную команду
• Ты сможешь участвовать в развитии экономики страны и видеть результат своей работы
• Получишь уникальный опыт и профессиональный рост через амбициозные задачи
• Получишь возможность учиться новому на базе ведущих образовательных центров
• Сможешь присоединиться к сообществу по интересам: мы активно занимаемся спортом, проводим встречи с интересными людьми, семейные мероприятия.