DevSecOps-инженер

Компания работает на рынке с 2014 года, входит в реестр аккредитованных ИТ-компаний и является лидером российского рынка решений класса PAM (Privileged Access Management). Мы занимаемся разработкой, развитием и поддержкой комплексного продукта СКДПУ НТ. Он обеспечивает всю функциональность системы контроля действий привилегированных пользователей: от входа в систему до «умного» анализа потенциального инцидента. Ещё одно решение «АйТи Бастион» - средство информационного обмена Синоникс. Данная система предназначена для обеспечения безопасности и контролируемого обмена информацией. У «АйТи Бастион» - более 250 реализованных проектов, более 300 партнеров-интеграторов в России и Белоруссии, а также около 30 отечественных технологических партнеров. Среди наших заказчиков – крупнейшие российские компании из разных секторов экономики, а также государственные учреждения. «АйТи Бастион» активно участвует в отраслевых и бизнес-мероприятиях, реализует кадровые программы и нацелен на развитие сотрудников. В настоящее время мы ищем DevSecOps-инженера. Обязанности: Создание и поддержание безопасной DevSecOps-среды. Защита репозиториев, поддержка доверенных конвейеров сборки CI/CD и контроль за инструментарием. Автоматизация контроля безопасности кода: статический анализ кода (SAST); динамический анализ кода (DAST); фаззинг-тестирование; автоматизированный контроль зависимостей и мониторинг сторонних библиотек и компонентов на уязвимости и НДВ (SCA). Выгрузка и агрегация результатов. Интеграция с системами управления уязвимостями. Автоматическое создание отчётов о состоянии безопасности ПО, метрик эффективности процессов. Информирование ответственных лиц о результатах проверок, обнаруженных уязвимостях или превышении допустимых порогов рисков. Блокировка процессов при критических нарушениях при обнаружении серьёзных уязвимостей. Требования: Высшее техническое образование (желательно по специальности «Информационная безопасность»). Релевантный опыт работы от 3-х лет. Знание языков программирования: Bash (Python). Знание принципов и методологий DevOps. Понимание жизненного цикла разработки ПО (SDLC) и его интеграция с безопасностью. Знание основ и инструментов CI/CD: непрерывная интеграция и доставка, пайплайны, GitLab CI и т.д. Понимание процессов сборки, тестирования и развёртывания ПО. Отличное знание безопасной разработки (Secure Development): концепции «shift‑left security» и «безопасность как код» (Security as Code); методики оценки и приоритизации уязвимостей: CVSS, CWE, CVE; подходы к безопасной архитектуре приложений и микросервисов. Опыт анализирования кода и тестирование безопасности. Опыт работы с KESL. Условия: Рабочий график: с 10–00 до 18–30 (в том числе перерыв на обед 30 минут) по Москве, Пн-Пт. Официальное трудоустройство согласно ТК РФ. Подключение к социальному пакету после прохождения испытательного срока Корпоративные мероприятия. Профессиональный и карьерный рост.