AppSec/DevSecOps инженер

Обязанности:

• Разрабатывать и поддерживать в актуальном состоянии требования по безопасности для приложений, инфраструктуры и процессов разработки.
• Участвовать в проектировании безопасной архитектуры приложений и сервисов. Проводить анализ угроз (Threat Modeling), проверять архитектуру на ранних этапах, предлагать защитные меры.
• Внедрять подход «безопасность как код». Инфраструктура как код (Terraform, Ansible, OpenTofu) с автоматической проверкой безопасности, политики безопасности как код (Open Policy Agent, Conftest и аналоги), безопасное хранение и автоматическая ротация секретов, паролей, сертификатов (HashiCorp Vault и аналоги), защита репозиториев и процессов доставки кода (GitOps, подпись коммитов, контроль доступа).
• Автоматизировать безопасность в CI/CD пайплайнах. SAST, SCA, DAST / IAST, сканирование контейнеров и образов, проверка конфигураций инфраструктуры.
• Настраивать и поддерживать централизованные дашборды безопасности и автоматические отчёты.
• Ежемесячно предоставлять в службу информационной безопасности объективные метрики по безопасности разработки и эксплуатации (среднее время устранения уязвимостей, количество критических уязвимостей, процент покрытия проверками и т.д.).
• Проводить ручные проверки и тестирование на проникновение веб-приложений, API и административных панелей (Битрикс, Node.js/React и др.).
• Выявлять типовые уязвимости (OWASP Top-10 и др.), помогать разработчикам и devops инженерам их устранять. Участвовать в код-ревью, проводить парное программирование, консультировать.
• Участвовать в расследовании инцидентов, связанных с приложениями, цепочками поставки или конвейерами разработки.
• Разрабатывать и поддерживать сценарии автоматического реагирования на типовые инциденты (ansible плейбуки, скрипты).
• Обучать разработчиков безопасной разработке. Проводить внутренние лекции и митапы, готовить инструкции и рекомендации под используемые технологии компании.
• Выступать экспертом по безопасности внутри команд разработки и devops. Отвечать на вопросы, помогать ежедневно, участвовать в планировании спринтов.
• Вести техническую и регламентную документацию по своим направлениям, поддерживать в актуальном состоянии базу знаний компании по безопасности приложений и процессов DevSecOps.
• Следить за новыми уязвимостями и угрозами, которые затрагивают используемый технологический стек, оперативно инициировать и контролировать их устранение.

Требования:

Опыт работы в качестве AppSec/DevSecOps инженера от 3 лет

Опыт работы в команде по поддержке от 100 серверов

• Знание языков программирования (PHP, Python) и фреймворков (Laravel);
• Уверенные знания Linux (администрирование, shell scripting);
• Опыт работы с инструментами безопасной разработки (SAST, DAST, SCA, ASOC, CA), опыт внедрения и администрирования инструментального стека;
• Знание работы веб-серверов (Nginx, Apache).
• Опыт построения PipeLine для разработки ПО;
• Знание распространенных угроз и атак;
• Опыт использования инструментов: Metasploit, Nessus, Wireshark.
• Знание и понимание стека протокола TCP/IP (Основные: HTTP(s), LDAP(s), SSH, RDP, SMTP, SFTP и т.п);
• Навыки моделирования угроз;
• Опыт работы с CI/CD (GitLab CI, Jenkins, и др.);
• Понимание процессов DevOps и Secure SDLC;
• Знание Docker, Kubernetes, Ansible;
• Знание принципов сетевой безопасности и управления доступом;
• Понимание принципов SBOM и управления зависимостями
• Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике;
• Опыт работы с системами тикетов (Jira, Интрасервис);
• Понимание принципов STLC;
• Знание протоколов MQTT, CoAP;
• Опыт работы с песочницами;
• Навыки разработки, анализа чужого кода и проведения security code review;
• Опыт разработки проектной документации;
• Опыт внедрения или сопровождения РБПО;
• Понимание требований ГОСТ 56939-2024.

Условия:

г.Москва Зорге, 1, стр.1 (гибридный график) или удаленная работа

большая стабильная компания с разветвленной инфраструктурой

• дружный коллектив

• большое поле для развития и самореализации

• работа в стабильной компании с ясным будущим

• обучение и профессиональное развитие, внутренние и внешние курсы и тренинги

• публичная оценка выдающихся результатов и призы для победителей на корпоративной Премии «Признание»

• справедливое вознаграждение и премирование по системе KPI

• планирование карьеры в Издательской группе

• социальный пакет: бесплатный тренажёрный зал, скидки на книги, ДМС после 6 месяцев работы