DevSecOps Инженер

Компания разрабатывает несколько web-проектов, включая сайт hh.ru, а также несколько мобильных приложений. Нам нужен опытный DevSecOps инженер, готовый внедрять и поддерживать DevSecOps процессы во все наши проекты. Обязанности: Участие в формировании крепкой, экспертной, дружной команды. Выбор инструментов, средств контроля безопасной разработки. Автоматизация процессов безопасной разработки, сканирования. Проведение пилотов и дальнейшее внедрение в циклы CI/CD инструментария SAST/DAST/MAST/SCA/OSA и т. д. Внедрение оркестрации, корреляции, дедупликации для обнаруженных уязвимостей. Настройка и управление инструментами безопасности Верификация обнаруженных уязвимостей, определение критичности, меры по снижению рисков, контроль и помощь разработчикам в устранении уязвимостей. Внедрение и ведение метрик, автоматизация составления аналитики. Разработка и поддержка инструментов и скриптов для автоматического анализа безопасности кода в процессе непрерывной интеграции и поставки. Анализ защищенности и сканирование уязвимостей информационной инфраструктуры, прикладных сервисов, включая API. Взаимодействие с продуктовыми командами для выстраивания процессов безопасной разработки. Снижение рисков ИБ. Распространение DevSecOps практик на все проекты компании. Исследование новых практик DevSecOps, инструментов и технологий защиты приложений. Разработка инструкций и базы знаний для команд по применению инструментов безопасности DevSecOps. Участие в процессах сертификации. Требования: Опыт работы на аналогичной должности от 3 лет. Понимание основных принципов безопасности приложений и инфраструктуры. Опыт работы и внедрения SAST, DAST, MAST в уже существующий процесс разработки. Опыт работы с Git, GNU/Linux систем на уровне уверенного пользователя. Опыт работы с оркестрацией и корреляцией (агрегация уязвимостей, группировка, работа с тикет-системами, типа JIRA). Знание принципов и рекомендаций, предложенными OWASP. Опыт с различными инструментами и ресурсами, предоставляемыми OWASP, для анализа и улучшения безопасности приложений. Плюсом будет: Знание Java. Знание Python или любого скриптового языка. Знание Docker, K8s, Jenkins, Bamboo, JIRA, github. Условия: Удобное светлое рабочее место, со всем необходимым для работы. Официальное трудоустройство, стабильную з/п. Гибкий график работы из дома или офиса. Хороший тренажерный зал в офисе и душ при нем. А также занятия йогой, настольный теннис и кикер. Кофе в кофемашинах, чай, печенье, фрукты на кухне. Корпоративный ДМС c первого месяца работы (решаем вопросы со здоровьем быстро и удобно). Из другого региона? Поможем с возмещением расходов на переезд. Обалденная команда, где умеют слышать "тихие голоса" Участие во всех профильных конференциях в качестве слушателя и докладчика.