ООО «АФЛТ-Системс» — официально аккредитованная в Минцифры ИТ-компания, основанная в сентябре 2022 года. Входит в состав Группы компаний «Аэрофлот». Основное направление деятельности – внедрение, проектирование и реализация ключевых инициатив и проектов Группы компаний «Аэрофлот» в области информационных технологий.
Обязанности
1. Участие в проектировании архитектур CI/CD и процессов безопасной разработки:
- Участие в разработке и внедрении конвейеров CI/CD с учетом требований безопасности на каждом этапе.
- Определение оптимальных методов и технологий для реализации требований безопасности.
2. Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD-пайплайнах (как в существующих, так и в новых):
- Выбор и автоматизация инструментов безопасности в процессы непрерывной интеграции и доставки (CI/CD).
- Настройка и поддержка работы этих инструментов для обеспечения безопасности на всех этапах разработки и деплоя (размещения готовой версии программного обеспечения на платформе).
- Внедрение механизмов безопасности в системы непрерывной интеграции и доставки.
3. Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки:
- Тестирование и внедрение новых инструментов и методик для повышения безопасности.
- Развитие существующих процессов разработки для улучшения автоматизации выявления дефектов.
4. Стандартизация работы с уязвимостями:
- Участие в разработке и внедрение стандартов и процедур для выявления, устранения и управления уязвимостями.
- Обеспечение соблюдения этих стандартов всеми командами разработки.
5. Оценка уязвимости приложений/сервисов к различным атакам:
- Проведение тестов на проникновение и анализ уязвимостей.
- Оценка рисков и уязвимостей для различных типов атак.
6. Проведение Code Review:
- Взаимодействие с командами разработки для устранения потенциальных дефектов.
- Проведение демонстрации эксплуатации уязвимостей, выявленных в ходе Code Review и инструментами безопасности.
- Повышение осведомленности команд разработки по процессам безопасной разработки.
7. Построение модели угроз информационной безопасности приложений/сервисов и формирование предложений в части механизмов защиты:
- Участие в разработке моделей угроз для идентификации потенциальных рисков.
- Формирование предложений и рекомендаций по улучшению защиты.
8. Реализация задач по безопасности K8s:
- Выбор инструментов для выявления недостатков в конфигурации компонентов Kubernetes.
- Реализация мер безопасности для различных компонентов Kubernetes.
Ваши навыки и опыт
- Опыт работы в области обеспечения безопасности контейнерной инфраструктуры и систем оркестрации (Hardening K8s, Runtime Security, Network Policy, RBAC, Secret Management, ContainerSecurity, практическое применение security-сканеров SAST, SCA, DAST (как плюс — IAST)).
- Понимание причин возникновения и принципов эксплуатации уязвимостей приложений.
- Умение выявлять архитектурные недочеты и риски в приложениях/сервисах.
- Умение формировать (формулировать) и контролировать требования ИБ к продуктам.
- Опыт написания скриптов для автоматизации задач.
- Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов (AppSec/WebAppSec (SAST, DAST, SCA) и DevSecOps (SDLC/SSDLC, Kubernetes, Docker)).
- Понимание того, как работают угрозы из OWASP Top 10, OWASP API Security Top 10, OWASP Mobile Top 10, CWE Top 25.
- Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, OWASP SAMM и т.п.).
Условия
- Уникальная возможность участвовать в создании новых продуктов для группы компаний Аэрофлот.
- Возможность работать над новаторскими проектами в области гражданской авиации.
- Гибридный режим работы.
- Работа в аккредитованной ИТ-компании.
- Официальное трудоустройство с первого рабочего дня и "белая" заработная плата.
- Пакет ДМС.
- Специальные условия на покупку авиабилетов для тебя, твоей семьи и твоих родителей.
- Команда профессионалов, в кругу которых ты не будешь брошен один на один с проблемой.
- Индивидуальный подход к профессиональному росту и развитию внутри компании.
