DevSecOps-инженер

Что предстоит делать

Привет! Мы команда DevSecOps-инженеров продукта Drivee, и мы в поисках сотрудника в нашу команду. Ты будешь заниматься задачами по поддержанию безопасности разработки и сервисов, а также тестированию на проникновение. Еще у нас есть блок задач (20%) по безопасной разработке и обучению сотрудников правилам безопасной работы с данными, есть возможность непосредственно “руками” поучаствовать в выполнении интересных для тебя задач. В нашей команде сейчас 3 человека. Мы улучшаем процессы ИБ и создаем дружелюбную рабочую атмосферу, где обмениваемся опытом и поддерживаем друг друга. Ценим инициативность, ответственность, стремление к росту и умение договариваться. Если тебе это близко — будем рады видеть тебя в команде! Наш стек: • Бэкенд разработка на Go, PHP, клиентская часть на Kotlin+SWIFT; • DevOps и SRE практики; • Self Managed k8s, Ingress Nginx; • Kafka, Redis, MySQL, ClickHouse; • Neuvector, Casdoor, OpenSearch, PostgreSQL • SemGrep, Owasp ZAP, Burp Suite • VictoriaMetrics, Grafana, Loki, AlertManager, onCall; • Github, Argo CD, Ansible, GitOps, IaC, helm, kustomize. Зоны ответственности: • Внедрение практик безопасности на всех этапах CI/CD; • Инвентаризация активов и проведение аудитов в области соответствия требованиям безопасности; • Оценка безопасности цепочки поставок и внедрение новых решений; • Аудит и ревью исходного кода, выявление ошибок и закономерностей; • Использование инструментов безопасности инфраструктуры - сетевые сканеры, сканеры безопасности контейнерных сред; • Проведение обучений сотрудников из отделов инфраструктуры и разработки относительно применения практик по безопасности; • Написание отчетов по проделанным работам и выявленным уязвимостям. Нам важно увидеть: • Инфраструктура: хороший уровень знания ОС и протоколов; • Понимание работы и особенностей языков программирования и исполняемых сред; • Знание подсистем безопасности - LSM, eBPF; • Базовые знания криптографии - TLS/SSL, SHA; • Умение пользоваться инструментами автоматизированного сканирования (ZAP, Burp, Nuclei, Nikto); • Знание хотя бы одного из языков программирования - Python, Go, Kotlin, Java, C#; • Понимание устройства и работы мобильных приложений; • Атаки на хранилище исходного кода и конфигурации; • Знание принципов атак на виртуализацию, контейнеризацию и сети; • Понимание работы принципов работы алерт-систем ИБ; • Работа с атаками на прикладную аутентификацию - BOLA, BAC. Будет большим плюсом: • Знание особенностей работы SCA, SAST, DAST инструментов; • Знания работы систем цепочек поставок - чем отличается SBOM от OBOM; • Практический опыт работы в проведении успешных атак на контейнерную инфраструктуру и системы оркестрации; • Опыт аудита исходного кода больших Legacy проектов; • Понимание принципов построения гибридных архитектур (Облако/OnPremise); • Понимание правил обработки и хранения различных типов информации и данных; • Знание способов атак на сети в гибридных архитектурах; • Опыт работы с UNIX/Linux системами и понимание внутренних механизмов безопасности ОС; • Опыт написания профилирования сканеров безопасности; • Знание основных принципов безопасности веб-приложений, CWE, OWASP; • Подтвержденное участие в CTF и Bug Bounty; • Опыт применения, эксплуатации и выявления следов использования эксплоитов; • Умение эксплуатировать потенциальные CWE и превращать их в CVE; • Опыт проведения атак на мобильные приложения. *Мы стараемся отвечать на все присланные нам резюме, но, если вам не поступил ответ в течение 2 и более недель, значит мы перешли к финальным этапам отбора. Спасибо за ваш интерес!