📍 Москва (м. Динамо)Можно удалённо из РФ
Специализация
Information Security
Группа компаний «ДОМ.РФ» — реализует национальные проекты в области жилищного строительства и ипотеки. Более 25 лет мы занимаемся развитием жилищной сферы в России.
В ДОМ.РФ работает более 7 тысяч человек, из которых более тысячи — это команда цифровой вертикали.
Наша IT-команда проводит цифровую трансформацию строительной отрасли по всей России и создает инновационные IT-продукты для людей, бизнеса и государства.
Технологии/инструменты
CI/CDKubernetesLinuxDockerTCP/IPOSIOWASP TOP 10 / CWE TOP 25SCASASTVaultHelm
Задачи
- Выявление и устранение уязвимостей системы с микросервисной архитектурой.
- Консультации разработчиков и DevOps по вопросам закрытия уязвимостей.
- Выполнение требований ИБ.
- Построение процессов безопасной разработки в CI/CD конвейере, автоматизация поиска уязвимостей.
- Совершенствование процесса безопасного управления и хранения секретов.
- Составление модели угроз и нарушителя безопасности информации.
Ожидания
- Опыт работы: 3-6 лет.
- Навык работы Linux на уровне системного администратора (RPM/DEB Based ОS).
- Знать основы сетей: модели TCP/IP, OSI, какие протоколы на каком уровне работают.
- Знание технологий контейнеризации приложений Docker и K8s, своевременное обновление образов микросервисов.
- Строгое понимание OWASP TOP 10 / CWE TOP 25 (какие уязвимости бывают и как их закрывать).
- Умение автоматизировать проверки на уязвимости в процессе CI/CD: (SCA, Container Scan, SAST).
- Опыт работы с инструментами: Trivy, QWASP Dependency-Check, Semgrep SAST.
- Уверенно владеть Burp Suite и проводить ручной анализ веб-приложений на предмет уязвимостей.
- Уметь проводить триаж и приоритизацию уязвимостей (рассказать разработке/DevOps в чем заключается уязвимость, чем она опасна, знать как закрыть и в каком порядке).
- Опыт работы с HashiCorp Vault, Mozilla Sops, Helm secrets.
- Профильное образование по направлению информационная/компьютерная безопасность.
Будет плюсом:
- Наличие профильных сертификаций: OSCP, CEH (Practical), OSWA, OSWE, BSCP (Burp Suite).
- Опыт CTF: HackTheBox, TryHackMe, Burp Suite Academy.
- Знание основ безопасности K8s (CIS Kubernetes Benchmark).
- Опыт работы в качестве DevOps.
Условия
- Конкурентный уровень заработной платы и регулярные премии.
- Гибридный и удаленный формат работы (Москва обязательно гибридный формат работы), отдельный офис для IT и Digital команды.
- Расширенная программа ДМС, включая стоматологию.
- Компенсация абонемента в фитнес-клуб и обучения иностранным языкам.
- Доступ к корпоративному обучению по Hard и Soft skills.
- Специальные условия по кредитам и ипотеке от Банка ДОМ.РФ для сотрудников.
Ксения Романова Recruiter
