DevSecOps-инженер (Цифровая ипотека)

Задачи

• Выявление и устранение уязвимостей системы с микросервисной архитектурой.
• Консультации разработчиков и DevOps по вопросам закрытия уязвимостей.
• Выполнение требований ИБ.
• Построение процессов безопасной разработки в CI/CD-конвейере, автоматизация поиска уязвимостей.
• Совершенствование процесса безопасного управления и хранения секретов.
• Составление модели угроз и нарушителя безопасности информации.

Ожидания

• Опыт работы: 3–6 лет.
• Навык работы Linux на уровне системного администратора (RPM/DEB Based ОS).
• Знать основы сетей: модели TCP/IP, OSI, какие протоколы на каком уровне работают.
• Знание технологий контейнеризации приложений Docker и k8s, своевременное обновление образов микросервисов.
• Понимание OWASP TOP 10 / CWE TOP 25 (какие уязвимости бывают и как их закрывать).
• Умение автоматизировать проверки на уязвимости в процессе CI/CD: (SCA, Container Scan, SAST).
• Опыт работы с инструментами: Trivy, OWASP dependency-check, Semgrep SAST.
• Уверенное владение Burp Suite и опыт ручного анализа веб-приложений на предмет уязвимостей.
• Умение проводить триаж и приоритизацию уязвимостей (рассказать разработке/DevOps, в чем заключается уязвимость, чем она опасна, знать, как закрыть и в каком порядке).
• Опыт работы с Hashicorp Vault, Mozilla Sops, Helm Secrets.

Будет плюсом:

• Наличие профильных сертификаций: OSCP, CEH (Practical), OSWA, OSWE, BSCP (Burp Suite).
• Опыт CTF: HackTheBox, TryHackMe, Burp Suite Academy.
• Знание основ безопасности k8s (CIS Kubernetes Benchmark).

Условия

• Конкурентный уровень заработной платы и регулярные премии.
• Гибридный и удаленный формат работы, отдельный офис для IT и Digital-команды.
• Расширенная программа ДМС, включая стоматологию.
• Компенсация абонемента в фитнес-клуб и обучения иностранным языкам.
• Доступ к корпоративному обучению по Hаrd и Soft Skills.
• Специальные условия по кредитам и ипотеке от Банка ДОМ.РФ для сотрудников.