DevSecOps Инженер

ПравоТех — продуктовая IT-компания, которая с 2008 года создает решения для автоматизации бизнес-процессов.

Продукты компании ежедневно используют более 3500 организаций, среди которых «СберСтрахование жизни», «Ростелеком», «Альфа-Банк» и другие крупные игроки рынка.

Мы создаем современные и высоконагруженные программные продукты. Наша команда верит, что безопасность — это не этап, а непрерывный процесс, встроенный в каждый этап жизненного цикла разработки.

• Выстраивать и поддерживать процесс безопасной разработки.

• Организация и проведение регулярного поиска уязвимостей в продуктах и инфраструктуре.

• Проведение проверок и консультирование команд по вопросам безопасного проектирования архитектуры ПО.

• Обеспечение безопасности конвейера сборки и поставки, включая контроль целостности артефактов.

• Проведение и настройка статического анализа исходного кода для выявления дефектов безопасности.

• Проведение анализа сторонних зависимостей на наличие известных уязвимостей.

• Проверка лицензионной чистоты используемых библиотек и компонентов.

• Проведение динамического тестирования работающих приложений для поиска runtime-уязвимостей.

• Уверенное владение Linux, Windows Server; скриптинг на Bash/PowerShell.

• Понимание стека TCP/IP, DNS, HTTP(S), TLS; опыт работы с прокси, балансировщиками нагрузки, VPN, концепциями Zero Trust.

• Практический опыт с TLS/mTLS, управлением сертификатами, HSM/KMS, шифрованием данных в покое и в движении.

• Глубокие знания Docker/Podman и практики безопасности контейнеров (образы, runtime).

• Опыт с Kubernetes (безопасность: RBAC, NetworkPolicy, PSP/PodSecurity, Admission Controllers, OPA/Gatekeeper, Kyverno), понимание сервис-сетей (Istio, Linkerd).

• Настройка и обеспечение безопасности пайплайнов в GitLab CI, GitHub Actions, Jenkins; работа с SBOM, SLSA, подписью артефактов.

• Опыт работы с облачными сервисами (VK Cloud, Yandex Cloud, AWS, GCP, Azure) — VPC, KMS, WAF и др.

• Практический опыт внедрения и использования SAST, DAST/IAST, SCA, инструментов анализа лицензий, RASP, WAF/WAAP, понимание OWASP Top 10 для веба и API.

• Навыки работы со стеками Prometheus/Grafana, ELK/EFK, OpenTelemetry, интеграция с SIEM (Splunk, QRadar, Elastic).

• Работа со сканерами (Trivy, Grype, Dependabot, облачные сканеры), приоритизация по CVSS/EPSS.

• Умение писать скрипты и инструменты на Python, Go или TypeScript; опыт с Makefile, автоматизаци.

• Работа с интересным стеком: Используем актуальные стеки технологий и нейросети в работе.

• Вовлеченная команда: Мы открыты ко всему новому и готовы поддержать ваши смелые идеи.

• Гибкие процессы: Адаптируем регламенты и фреймворки под себя и легко достигаем целей.

• Разработка полезных продуктов: Вы будете принимать участие в проектах, которыми будете гордиться.