Инженер по безопасности разработки (DevSecOps)

Форк ИТ – эксперт в создании масштабных цифровых сервисов. Более 8 лет команда Форк ИТ создает, развивает и поддерживает высоконагруженные системы и решения, реализуя проекты цифровой трансформации промышленных предприятий.

Наша команда:
- 6 офисов в России (Москва, Екатеринбург, Кемерово, Киров, Благовещенск, Учалы)
- Более 300 сотрудников
- Agile-команды
- Аккредитованная IT-компания

Сотрудник отвечает за обеспечение безопасности процессов разработки, тестирования и поставки программного обеспечения, а также за архитектурные решения по защищенному исполнению ПО на стороне заказчика

Задачи следующие:

В части безопасности разработки (DevSecOps):

• Управление доступом к средам разработки, тестирования, хранения артефактов (репозитории кода, системы непрерывной интеграции, реестры контейнеров, тестовые базы данных)
• Внедрение и эксплуатация инструментов статического (SAST), динамического (DAST) и анализа состава зависимостей (SCA)
• Регулярная проверка кода и сборок на наличие уязвимостей
• Интеграция средств безопасности в пайплайны CI/CD (автоматический запуск сканеров при коммите и перед релизом)
• Контроль отсутствия секретов и учетных данных в коде (токены, пароли, ключи)

В части системной архитектуры ИБ:

• Проектирование защищенной среды исполнения ПО для объектов КИИ (доверенная загрузка, контейнерная изоляция, безопасные настройки ОС)
• Подготовка рекомендаций заказчику по выбору и настройке средств криптографической защиты (СКЗИ) и межсетевых экранов для размещения разработанного ПО
• Обеспечение соответствия архитектурных решений требованиям ГОСТ Р 56545 (безопасная разработка ПО для КИИ)
• Консультация разработчиков по вопросам безопасной реализации архитектурных компонентов

Область ответственности:

• Своевременное выявление критических уязвимостей в коде до передачи продукта заказчику
• Соблюдение установленных регламентов доступа к средам разработки
• Корректность архитектурных рекомендаций для защищенного исполнения ПО

ЧТО МЫ ЖДЁМ ОТ ТЕБЯ:

• Опыт администрирования CI/CD (GitLab CI, Jenkins, GitHub Actions)
• Практическое владение SAST/DAST/SCA-инструментами (SonarQube, Checkmarx, DefectDojo, OWASP Dependency-Check)
• Понимание OWASP Top 10 для приложений и контейнеров
• Знание основ безопасной разработки (безопасное кодирование, управление зависимостями)
• Умение настраивать контроль доступа на основе ролей (RBAC) в системах контроля версий
• Знание требований к защищенной среде исполнения (Astra Linux Special Edition, доверенные гипервизоры, контейнерная изоляция)
• Понимание принципов работы СКЗИ и межсетевого экранирования на уровне архитектуры
• Базовое знание ГОСТ Р 56545 (приветствуется)

Льготы и привилегии:

• Официальное трудоустройство в соответствии с ТК РФ
• Конкурентная заработная плата
• Все бенефиты аккредитованной ИТ-компании
• ДМС со стоматологией с первых рабочих дней
• Премии по результатам выполнения KPI
• Повышение квалификации, возможность за счет работодателя получить ВО
• График работы 5/2 с 09.00 до 18.00
• Офис, г. Москва, ст. м. Новаторская, Новые Черемушки, Воронцовская