Инженер-автоматизатор DevSecOps (автоматизация фаззинга)

Компания InfoWatch в поиске инженера-автоматизатора DevSecOps в технический департамент.

В команду технического департамента ищем специалиста, которому интересно реализовывать "контрольки безопасности"/Security Gates, используемые продуктовыми командами разработки на постоянной основе.

Ждём ваших откликов, если у вас есть схожий опыт за плечами, вы готовы посещать московский офис, работать в гибридном режиме или полностью удалённо.

Удачи на интервью!

Задачи, которые предстоит решать:

• Разработка средств автоматизации, позволяющих:
  • Управлять фаззингом и динамическим анализом исходного кода продуктов компании или их отдельных частей
  • Осуществлять поиск известных CVE на программные компоненты, которые входят в состав наших продуктов
  • Проводить композитный анализ приложений (SCA)
  • Обрабатывать результаты статического анализ исходного кода (SAST на базе svacer, PTAI)
  • Проводить анализ поверхности атаки продуктов компании и их компонентов (natch или аналоги);
• Разработка собственных вспомогательных средств автоматизации как с нуля, так и с использованием готовых промышленных opensource или коммерческих инструментов;
• Интеграция разработанных security gates/"контролек безопасности" с конвейером CI/CD;
• Во взаимодействии с продуктовыми командами разработки потребуется разрабатывать сигнализацию и репортинг по security gates/"контролькам безопасности";
• И, конечно же, для реализации всего вышеперечисленного потребуется глубоко погрузиться в процесс разработки и потребности в SDL-инструментах продуктовых команд - потребуется принять участие в выстраивании и упорядочении применения SDL-практик среди разработчиков.

Навыки, которыми необходимо владеть:

• Опыт самоятоятельной выработки технических решений по написанию скриптов для автоматизации задач (Python, Bash);
• Опыт работы с системами контроля версий (Git);
• Практические навыки в построении CI/CD (TeamCity, GitLab);
• Практические навыки настройки и обеспечения безопасности Docker/Kubernetes в составе производственных пайплайнов;
• Практический навык администрирования nix-систем, работающих в промышленной среде, включая самостоятельную сборку и установку пакетов.

Дополнительными "плюсами" будут:

• Опыт разработки или умение читать и понимать код на одном из языков программирования - c++, php, go - будет существенным плюсом;
• Приветствуется умение готовить инструментированные сборки софта с целью изучения того, как они работают в динамике;
• Приветствуется практический опыт реализации security gates/"контролек безопасности" в софтверных или иных производственных компаниях;
• Понимание того, какие задачи решают и на что нацелены инструменты классов DAST, SAST, SCA;
• Приветствуется практическое знакомство и опыт встраивания в производственные процессы таких инструментов как Burp Suite, OWASP Dependency Check, FOSSA, npm_audit или их отечественных аналогов вроде natch, appsec hub, codescoring, CVE-Manager от Базальта;
• Приветствуется опыт интеграции стороннего софта с трекером Jira;
• Английский - на уровне чтения документации. Плюсом будет умение вести техническую переписку.

Мы категорически приветствуем кандидатов, которые про свои soft skills могут сказать:

• У меня желание исследовать неизвестное - не стоять на месте, а копать вглубь и вширь;
• Я коммуникабелен и открыт к конструктивному диалогу, я умею договариваться;
• Я не боюсь задавать вопросы если что-то непонятно;
• Я готов тиражировать свой опыт тем, кто находится в самом начале своего карьер;
• Я умею довести начатое до конца;
• Я умею работать в Agile или в Kanban.

# InfoWatchFamily предлагает:

• работа в аккредитованной ИТ-компании;
• возможность удалённой работы;
• гибкий график работы;
• сплоченную команду;
• ориентацию на результат;
• развитие сотрудников: участие в форумах, конференциях, семинарах, митапах; обмен опытом внутри команды; языковое обучение;
• специальную стимулирующую программу для тех кто любит, хочет и может выступать на профессиональных мероприятиях и писать на хабрхабр;
• заботу о здоровье: ДМС, компенсация фитнеса, спортзал в офисе, массажный кабинет;
• уютный офис: зона отдыха с настольным теннисом, аэрохоккеем, настольные игры (шахматы, шашки, го, нарды), корпоративная библиотека;
• оплачиваемые обеды (5 точек питания на выбор), чай-кофе в течение дня;
• интересные совместные события и активный отдых;
• события для всей семьи: мероприятия и подарки для детей, племянников и внуков сотрудников;
• и многое другое...

Присоединяйтесь к # InfoWatchFamily!