DevSecOps Инженер (Middle)

Компания "Bell Integrator"

Проект:

Цель: Организация процесса безопасной разработки кода на всех этапах жизненного цикла программного обеспечения;

Системы: все системы Банка, участвующие в процессе SDLC.

Почему мы?

• Работа на проектах крупного Банка;

• Возможность выстраивания процесса DevSecOps в крупном Банке, практически "с нуля".

Организация процесса безопасной разработки кода на всех этапах жизненного цикла программного обеспечения (SDLC) от формализации требований и построения модели угроз, до встраивания инструментов ИБ и написания тестов безопасности. Проведения анализа известных угроз (CVE), составление политик безопасности приложений, требований безопасности, непрерывная работа по направлению оценки рисков, вызванных наличием уязвимостей в приложениях или отсутствием необходимых контролей безопасности.

Обязанности:

• Формирование культуры DevSecOps в Банке - Sec должен стать неотъемлемой частью планирования, разработки и эксплуатации;

• Фомирование правил и подходов, обеспечивающих безопасность (OWASP DevSecOps guideline):

1. Кода (Custom Code Security);
2. Цепочек поставок (Supply Chain Security);
3. Среды исполнения (Runtime Protection);

• Построение процесса анализ состава программного обеспечения (SCA, SBOM);

• Внедрение инструментов и процессов анализа уязвимостей и угроз (SAST, DAST);

• Сотрудничество с командами разработки, эксплуатации, безопасности в части внедрения sec-инструментов;

• Участие в расследовании инцидентов информационной безопасности.

Требования:

• Опыт работы: 3 года

• Разработка требований ИБ для процесса разработки (SDLC), CI/CD-конвейера, инфраструктуры;

• Оценка уровня безопасности текущего процесса разработки и формирование рекомендаций по повышению уровня зрелости;

• Написание методических требований/рекомендаций по встраиванию AppSec инструментов в цикл разработки/эксплуатации;

• Участие в конфигурировании ИБ-инструментов с последующим встраиванием их в процесс разработки (SDLC);

• Реализация автоматизированных проверок требований безопасности контейнерных сред/приложений и консультация команд по устранению замечаний со стороны безопасности;

• Активное участие в разработке ИТ и ИБ стратегий;

• Реализация требований PCI DSS для в части взаимодействия приложений с карточным центром;

• Разработка харденинг-шаблонов для kubernetes кластеров, согласно требованиям по безопасности информации к средствам контейнеризации от ФСТЭК (6 класс);

• Контроль за реализацией принципа минимальных привилегий;

• Аудит и корректировка сетевых политик в kubernetes кластерах;

• Построение процесса работы с уязвимостями (отслеживание, планирование изменений, выдержка срока устранения);

• Участие в процессе обновления (переход на свежие версии) всех компонентов SDLC (в т.ч. инфраструктурных);

• Разработка пороговых значений Quality gates в статических анализаторах кода, разработка политик;

• Участие во внедрении механизма подписи образов и проверке подписи при деплое.

Условия:

• Возможность профессионального и карьерного роста в компании
• Возможность поучаствовать в разных проектах
• Опыт работы в распределенной команде профессионалов
• Уровень заработной платы обсуждается индивидуально