Обязанности:
iiko — российская компания-разработчик ПО для автоматизации ресторанов. Более 52 000 заведений в РФ и ЕАЭС, в том числе более половины всех ресторанов России используют iiko. Мы стремимся создать лучшее в мире решение для управления ресторанным бизнесом. Расширяем команду ИБ и приглашаем в штат инженера DevSecOps для работы с блоком разработки программного обеспечения. Ваши задачи: Сопровождение ЖЦ разработки продуктов компании по вопросам ИБ: Участие в разработке архитектуры и создании платформы разработки безопасного ПО; Участие в моделировании угроз; Участие в формировании требований ИБ к продукту; Участие в приемо-сдаточных испытаниях. Настройка, автоматизация и повышение эффективности и безопасности SAST, DAST, SCA, OSA, CS, Penetration testing, Fuzzing проверок. Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний. Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков. Формирование компетенций в области ИБ у команд разработки. Консультирование внутренних и внешних команд разработки в вопросах организации SSDLC. Помощь в разработке безопасного кода и внедрении практик безопасной разработки; Ожидания от кандидата: Высшее образование в области информационных технологий или информационной безопасности. Знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются. Опыт разворачивания и применения инструментов безопасной разработки (SAST, DAST, SCA, OSA, ASOC, Container/Kubernetes Security); Опыт построения и развития инженерных практик DevSecOps, их реализация в pipeline в качестве Security Gate; Опыт работы с Docker, k8s; Опыт работы с одним или несколькими инструментами CI/CD (Gitlab - желательно/Teamcity/Jenkins/Ansible); Опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, Jira, artifactory/harbor/nexus); Понимание концепций Shift-Left, Zero-Trust, SSDLC; Знание о современных структурах, методах и технологиях аутентификации/авторизации; Опыт работы с hashicorp vault. Понимание принципов построения процесса DevSecOps в компании-разработчике ПО от двух лет. Понимание принципов работы современных веб-приложений, микросервисной архитектуры, контейниризированных приложений, процессов CI/CD. Опыт триажа уязвимостей по следующим языкам программирования (хотя бы минимальный): .Net, PHP, Java; Опыт создания и внедрения политик/правил для инструментов безопасной разработки. Будет преимуществом: Опыт расследования инцидентов; Опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки, а так же опыт управления небольшой командой ИБ; Знание стандартов, фреймворков и лучших мировых практик по разработке защищенного программного обеспечения (BSIMM, SAMM, ASVS и т.д.); Знание английского на уровне чтения технической документации; Знание и практическое применение современных средств, систем и методик защиты информации веб-приложений. Знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта. Мы предлагаем вам: Работу в современной демократичной IT компании. Наличие IT аккредитации. Сотрудничество по TК РФ с первого дня по бессрочному трудовому договору. Возможна удаленная работа по мск часовому поясу. ЗП в рынке, учтем ваши пожелания. Гибкое начало рабочего дня до 11.00. Оплата спортклуба, онлайн школы английского, медицинской страховки.Похожие вакансии