DevSecOps

Навыки: CI/CD, Jenkins, Terraform, SAST/DAST, Linux, Python, DevSecOps, Сетевые технологии. Квалификация: Senior. Специализации: DevOps-инженер.

О компании и продукте

Наша команда разрабатывает операционную систему, которая используется на маршрутизаторах и коммутаторах, производимых нашей компанией. Данная сетевая ОС обеспечивает работу собственных облачных инфраструктур (private cloud), критически важных для бизнесов наших заказчиков. Мы являемся частью группы российских ИТ-компаний, разрабатывающих и производящих оборудование для построения сетей передачи данных для крупного и среднего бизнеса (как проводных, так и беспроводных), IoT-инфраструктур, решений для корпоративных сетей.

Мы ищем инженера DevSecOps, который встроит безопасность на каждом этапе жизненного цикла разработки и поставки ПО. Эта роль объединяет программную инженерию, лучшие практики безопасности и автоматизацию инфраструктуры, чтобы конвейеры сборки, контейнерные среды и развёртывания в облаке/onpremise были защищёнными, масштабируемыми и соответствовали требованиям. Вы будете тесно работать с командами DevOps, SRE и Security для автоматизации обнаружения угроз, усиления защиты CI/CD-систем и внедрения безопасных рабочих процессов как стандарта по умолчанию для разработчиков.

Вы будете тесно работать с командами DevOps, SRE и Security, чтобы автоматизировать обнаружение угроз, усилить защиту CI/CD-систем и сделать безопасные рабочие процессы стандартом по умолчанию для разработчиков.

Чем вы будете заниматься в команде

  1. Защита конвейеров CI/CD. Проектирование и поддержка безопасных рабочих процессов CI/CD в Jenkins, GitLab CI или аналогичных платформах (например, интеграция SAST/DAST, сканирование секретов, проверка зависимостей).
  2. Безопасность инфраструктуры. Автоматизация усиления защиты инфраструктуры (Kubernetes, контейнеры, виртуальные машины, IaC) и внедрение базовых требований безопасности с использованием инструментов вроде Terraform/OpenTofu, Pulumi, Ansible и стандартов CIS.
  3. Управление уязвимостями. Внедрение сканирования уязвимостей для кода, образов и сред выполнения, координация устранения проблем с инженерными командами.
  4. Управление секретами. Проектирование и эксплуатация безопасных систем хранения и ротации секретов (например, HashiCorp Vault, облачные KMS).
  5. Мониторинг безопасности и обнаружение угроз. Развёртывание и настройка телеметрии безопасности (SIEM, инструменты безопасности среды выполнения на базе eBPF, такие как Falco/Cilium Tetragon).
  6. Соответствие требованиям и аудит. Поддержка соответствия требованиям безопасности (ISO 27001, SOC 2 и др.) через сбор доказательств и автоматизированное применение политик
  7. Реагирование на инциденты. Участие в первичной оценке инцидентов безопасности, анализе первопричин и постмортемах для постоянного улучшения уровня защищённости.
  8. Поддержка разработчиков. Создание инструментов, шаблонов и документации, которые делают безопасное программирование и развёртывание стандартом для инженерных команд.

Что нужно знать, чтобы начать работу в команде

  1. Большой опыт работы в ролях DevOps или SRE с фокусом на безопасность.
  2. Практический опыт работы с системами CI/CD (GitLab CI, Jenkins, GitHub Actions и т. п.) и автоматизации контрольных точек безопасности.
  3. Уверенное владение инструментами IaC (Terraform, OpenTofu, Pulumi) и оркестрации контейнеров (Kubernetes, Helm).
  4. Знакомство с инструментами безопасности: сканерами SAST/DAST (SonarQube, OWASP ZAP), защитой контейнеров (Trivy, Grype), сканированием IaC (Checkov, tfsec).
  5. Знания по безопасности Linux, управлению идентификацией и доступом, концепциям безопасной сети.
  6. Опыт работы с облачными платформами (AWS, GCP, Azure) или частными облачными стекам (Proxmox, OpenStack).
  7. Программирование/скриптинг на Python, Go или Bash для автоматизации и создания инструментов.

Будет плюсом

  1. Опыт работы с моделями безопасности zero-trust («нулевого доверия»), интеграцией OIDC/OAuth2 и применением политик RBAC/ABAC.
  2. Знание стандартов безопасности цепочек поставок (SLSA, SBOM, in‐toto).
  3. Участие в открытых проектах по безопасности или DevSecOps.
  4. Знания фреймворков соответствия (ISO 27001, SOC 2, NIST CSF) и автоматизированной генерации доказательств.

Ключевые качества

  1. Security mindset — активный поиск слабых мест и способов их устранения.
  2. Навыки сотрудничества — эффективная работа с разработчиками, операционными командами и специалистами по безопасности.
  3. Умение решать проблемы — успешная работа в сложных и динамичных условиях.
  4. В основе подхода — автоматизация: выбирает автоматизированные и воспроизводимые решения вместо выполнения ручных операций.

Мы ищем инженера DevSecOps, который встроит безопасность на каждом этапе жизненного цикла разработки и поставки ПО. Эта роль объединяет инженерные практики, принципы безопасности и автоматизацию инфраструктуры, чтобы обеспечить защищенность, масштабируемость и соответствие нашим конвейерам сборки, контейнерным средам и развертываниям в облаке и on-premise. Вы будете тесно работать с командами DevOps, SRE и Security, чтобы автоматизировать обнаружение угроз, усилить защиту CI/CD-систем и сделать безопасные рабочие процессы стандартом по умолчанию для разработчиков.

Что мы предлагаем

  • Гибкие условия работы

Мы поддерживаем те режимы, которые помогают нашим сотрудникам быть продуктивными:
o Если вы любите разделять рабочее и домашнее пространство — добро пожаловать в наш офис на ул. Вавилова, д. 24к1 (м. Ленинский проспект/Площадь Гагарина).
o Если вам удобнее работать удаленно, нас это устраивает. Главное — результат.

  • Достойная заработная плата (полностью «белая»)
  • ДМС после испытательного срока
  • Привилегии аккредитованной ИТ-компании

Статус аккредитованной ИТ-компании даёт нашим сотрудникам дополнительные льготы и преимущества.