Группа компаний «ДОМ.РФ» — реализует национальные проекты в области жилищного строительства и ипотеки. Более 25 лет мы занимаемся развитием жилищной сферы в России.
В ДОМ.РФ работает более 7 тысяч человек, из которых более тысячи — это команда цифровой вертикали.
Наша IT-команда проводит цифровую трансформацию строительной отрасли по всей России и создает инновационные IT-продукты для людей, бизнеса и государства.
Технологии/инструменты
CI/CDKubernetesLinuxDockerTCP/IPOSIOWASP TOP 10 / CWE TOP 25SCASASTVaultHelm
Задачи
Выявление и устранение уязвимостей системы с микросервисной архитектурой.
Консультации разработчиков и DevOps по вопросам закрытия уязвимостей.
Выполнение требований ИБ.
Построение процессов безопасной разработки в CI/CD конвейере, автоматизация поиска уязвимостей.
Совершенствование процесса безопасного управления и хранения секретов.
Составление модели угроз и нарушителя безопасности информации.
Ожидания
Опыт работы: 3-6 лет.
Навык работы Linux на уровне системного администратора (RPM/DEB Based ОS).
Знать основы сетей: модели TCP/IP, OSI, какие протоколы на каком уровне работают.
Знание технологий контейнеризации приложений Docker и K8s, своевременное обновление образов микросервисов.
Строгое понимание OWASP TOP 10 / CWE TOP 25 (какие уязвимости бывают и как их закрывать).
Умение автоматизировать проверки на уязвимости в процессе CI/CD: (SCA, Container Scan, SAST).
Опыт работы с инструментами: Trivy, QWASP Dependency-Check, Semgrep SAST.
Уверенно владеть Burp Suite и проводить ручной анализ веб-приложений на предмет уязвимостей.
Уметь проводить триаж и приоритизацию уязвимостей (рассказать разработке/DevOps в чем заключается уязвимость, чем она опасна, знать как закрыть и в каком порядке).
Опыт работы с HashiCorp Vault, Mozilla Sops, Helm secrets.
Профильное образование по направлению информационная/компьютерная безопасность.