Компания InfoWatch в поиске инженера-автоматизатора DevSecOps в технический департамент.
В команду технического департамента ищем специалиста, которому интересно реализовывать "контрольки безопасности"/Security Gates, используемые продуктовыми командами разработки на постоянной основе.
Ждём ваших откликов, если у вас есть схожий опыт за плечами, вы готовы посещать московский офис, работать в гибридном режиме или полностью удалённо.
Удачи на интервью!
Задачи, которые предстоит решать:
- Разработка средств автоматизации, позволяющих:
• Управлять фаззингом и динамическим анализом исходного кода продуктов компании или их отдельных частей
• Осуществлять поиск известных CVE на программные компоненты, которые входят в состав наших продуктов
• Проводить композитный анализ приложений (SCA)
• Обрабатывать результаты статического анализ исходного кода (SAST на базе svacer, PTAI)
• Проводить анализ поверхности атаки продуктов компании и их компонентов (natch или аналоги); - Разработка собственных вспомогательных средств автоматизации как с нуля, так и с использованием готовых промышленных opensource или коммерческих инструментов;
- Интеграция разработанных security gates/"контролек безопасности" с конвейером CI/CD;
- Во взаимодействии с продуктовыми командами разработки потребуется разрабатывать сигнализацию и репортинг по security gates/"контролькам безопасности";
- И, конечно же, для реализации всего вышеперечисленного потребуется глубоко погрузиться в процесс разработки и потребности в SDL-инструментах продуктовых команд - потребуется принять участие в выстраивании и упорядочении применения SDL-практик среди разработчиков.
Навыки, которыми необходимо владеть:
- Опыт самоятоятельной выработки технических решений по написанию скриптов для автоматизации задач (Python, Bash);
- Опыт работы с системами контроля версий (Git);
- Практические навыки в построении CI/CD (TeamCity, GitLab);
- Практические навыки настройки и обеспечения безопасности Docker/Kubernetes в составе производственных пайплайнов;
- Практический навык администрирования nix-систем, работающих в промышленной среде, включая самостоятельную сборку и установку пакетов.
Дополнительными "плюсами" будут:
- Опыт разработки или умение читать и понимать код на одном из языков программирования - c++, php, go - будет существенным плюсом;
- Приветствуется умение готовить инструментированные сборки софта с целью изучения того, как они работают в динамике;
- Приветствуется практический опыт реализации security gates/"контролек безопасности" в софтверных или иных производственных компаниях;
- Понимание того, какие задачи решают и на что нацелены инструменты классов DAST, SAST, SCA;
- Приветствуется практическое знакомство и опыт встраивания в производственные процессы таких инструментов как Burp Suite, OWASP Dependency Check, FOSSA, npm_audit или их отечественных аналогов вроде natch, appsec hub, codescoring, CVE-Manager от Базальта;
- Приветствуется опыт интеграции стороннего софта с трекером Jira;
- Английский - на уровне чтения документации. Плюсом будет умение вести техническую переписку.
Мы категорически приветствуем кандидатов, которые про свои soft skills могут сказать:
- У меня желание исследовать неизвестное - не стоять на месте, а копать вглубь и вширь;
- Я коммуникабелен и открыт к конструктивному диалогу, я умею договариваться;
- Я не боюсь задавать вопросы если что-то непонятно;
- Я готов тиражировать свой опыт тем, кто находится в самом начале своего карьер;
- Я умею довести начатое до конца;
- Я умею работать в Agile или в Kanban.
# InfoWatchFamily предлагает:
- работа в аккредитованной ИТ-компании;
- возможность удалённой работы;
- гибкий график работы;
- сплоченную команду;
- ориентацию на результат;
- развитие сотрудников: участие в форумах, конференциях, семинарах, митапах; обмен опытом внутри команды; языковое обучение;
- специальную стимулирующую программу для тех кто любит, хочет и может выступать на профессиональных мероприятиях и писать на хабрхабр;
- заботу о здоровье: ДМС, компенсация фитнеса, спортзал в офисе, массажный кабинет;
- уютный офис: зона отдыха с настольным теннисом, аэрохоккеем, настольные игры (шахматы, шашки, го, нарды), корпоративная библиотека;
- оплачиваемые обеды (5 точек питания на выбор), чай-кофе в течение дня;
- интересные совместные события и активный отдых;
- события для всей семьи: мероприятия и подарки для детей, племянников и внуков сотрудников;
- и многое другое...
Присоединяйтесь к # InfoWatchFamily!