Обязанности:
О компании Мы — важная часть большой частной структуры с высокой диверсификацией бизнеса — Группы компаний Merlion.Сотрудники компании работают над многими внешними и внутренними проектами, включая развитие ИТ-систем Ситилинка. Наша команда: более 900 сотрудников Мы предлагает своим сотрудникам разнообразные стек технологий и области применения. Мы не ограничены одной методологией в разработке и используем комбинацию подходов. Поэтому каждый из нас может постоянно развиваться и прокачивать свои навыки, оставаясь важной частью команды. Рабочие задачи: Осуществлять встраивание инструментов безопасной разработки в конвейер непрерывной интеграции, доставки и развертывания. Формировать сценарии в инструментах автоматизации для шагов безопасной разработки (SAST, SCA, DAST) Осуществлять поддержку работоспособности пайпланов в части безопасной разработки Анализировать требования регуляторов и актуальных стандартов в части безопасной разработки и вносить предложения по изменениям Актуализировать применяемые инструменты безопасной разработки. Обновлять имеющиеся. Пилотировать новые. Осуществлять сравнение инструментов по требуемым характеристикам. Автоматизировать представление подтвержденных результатов командам Формировать инструкции по встраиванию инструментов безопасности для разработчиков и инженеров Ваш опыт, навыки и личные качества: Образование в сфере информационная безопасность, информационные технологии или прикладная математика, или другое техническое образование с прохождением переподготовки по информационной безопасности в объеме не менее 500 часов. Общее понимание базовых принципов информационной безопасности. Общее понимание методики оценки рисков ИБ, контроля доступа, криптографии. Понимание сетевой модели OSI, знание основных протоколов. Понимание того как должна быть устроена безопасная разработка. Знакомство с ГОСТ 56939. Знание особенностей веб разработки и меры по обеспечению ее безопасности. Знакомство с OWASP Top 10, ASVS, WSTG, MASTG, Benchmark. Понимание способов популярных атак на веб-приложения. Умение сравнивать различные инструменты безопасности. Знакомство с CWE, CVE, CVSS. Понимание того как устроена современная разработка. Знакомство с методологий разработки (Agile). Понимание того как устроены непрерывная интеграция, непрерывная доставка и развертывание. Знакомство с системами контроля версий. Умение работать с Git. Умение работать с инструментами автоматизации, опыт формирования сценариев для запуска конвейера. Знакомство с Yaml и Json. Опыт написания скриптов на Bash или Python. Опыт встраивания инструментов безопасной разработки в конвейер DevSecOps (SAST, SCA, DAST). Умение работать с ОС Linux на уровне уверенного пользователя (предпочтительнее Debian-based). Опыт работы с docker (compose), kubernetes. Мы предлагаем: Конкурентная и полностью “белая” заработная плата (уровень заработной платы обсуждается по итогам собеседования). Высокий профессионализм коллег и адекватное руководство. Официальное трудоустройство. 5-дневная рабочая неделя. Качественное обучение по платформе и процессам компании. У нас все быстро, без служебных записок и цепочек согласования, личная инициатива поощряется. Мы предлагаем работу в гибкой, динамичной компании с минимумом бюрократии, где многое зависит от вас.