Обязанности:
Привет! Мы команда DevSecOps-инженеров продукта Drivee, и мы в поисках сотрудника в нашу команду. Ты будешь заниматься задачами по поддержанию безопасности разработки и сервисов, а также тестированию на проникновение. Еще у нас есть блок задач (20%) по безопасной разработке и обучению сотрудников правилам безопасной работы с данными, есть возможность непосредственно “руками” поучаствовать в выполнении интересных для тебя задач. В нашей команде сейчас 3 человека. Мы улучшаем процессы ИБ и создаем дружелюбную рабочую атмосферу, где обмениваемся опытом и поддерживаем друг друга. Ценим инициативность, ответственность, стремление к росту и умение договариваться. Если тебе это близко — будем рады видеть тебя в команде! Наш стек: Бэкенд разработка на Go, PHP, клиентская часть на Kotlin+SWIFT; DevOps и SRE практики; Self Managed k8s, Ingress Nginx; Kafka, Redis, MySQL, ClickHouse; Neuvector, Casdoor, OpenSearch, PostgreSQL SemGrep, Owasp ZAP, Burp Suite VictoriaMetrics, Grafana, Loki, AlertManager, onCall; Github, Argo CD, Ansible, GitOps, IaC, helm, kustomize. Зоны ответственности: Внедрение практик безопасности на всех этапах CI/CD; Инвентаризация активов и проведение аудитов в области соответствия требованиям безопасности; Оценка безопасности цепочки поставок и внедрение новых решений; Аудит и ревью исходного кода, выявление ошибок и закономерностей; Использование инструментов безопасности инфраструктуры - сетевые сканеры, сканеры безопасности контейнерных сред; Проведение обучений сотрудников из отделов инфраструктуры и разработки относительно применения практик по безопасности; Написание отчетов по проделанным работам и выявленным уязвимостям. Нам важно увидеть: Инфраструктура: хороший уровень знания ОС и протоколов; Понимание работы и особенностей языков программирования и исполняемых сред; Знание подсистем безопасности - LSM, eBPF; Базовые знания криптографии - TLS/SSL, SHA; Умение пользоваться инструментами автоматизированного сканирования (ZAP, Burp, Nuclei, Nikto); Знание хотя бы одного из языков программирования - Python, Go, Kotlin, Java, C#; Понимание устройства и работы мобильных приложений; Атаки на хранилище исходного кода и конфигурации; Знание принципов атак на виртуализацию, контейнеризацию и сети; Понимание работы принципов работы алерт-систем ИБ; Работа с атаками на прикладную аутентификацию - BOLA, BAC. Будет большим плюсом: Знание особенностей работы SCA, SAST, DAST инструментов; Знания работы систем цепочек поставок - чем отличается SBOM от OBOM; Практический опыт работы в проведении успешных атак на контейнерную инфраструктуру и системы оркестрации; Опыт аудита исходного кода больших Legacy проектов; Понимание принципов построения гибридных архитектур (Облако/OnPremise); Понимание правил обработки и хранения различных типов информации и данных; Знание способов атак на сети в гибридных архитектурах; Опыт работы с UNIX/Linux системами и понимание внутренних механизмов безопасности ОС; Опыт написания профилирования сканеров безопасности; Знание основных принципов безопасности веб-приложений, CWE, OWASP; Подтвержденное участие в CTF и Bug Bounty; Опыт применения, эксплуатации и выявления следов использования эксплоитов; Умение эксплуатировать потенциальные CWE и превращать их в CVE; Опыт проведения атак на мобильные приложения. *Мы стараемся отвечать на все присланные нам резюме, но, если вам не поступил ответ в течение 2 и более недель, значит мы перешли к финальным этапам отбора. Спасибо за ваш интерес!Похожие вакансии