Инженер DevSecOps в Yandex Cloud Security
Команда Yandex Cloud Security интегрирует лучшие практики защиты на каждом этапе жизненного цикла продуктов — от написания кода до его эксплуатации. Ищем инженера DevSecOps, который поможет нам автоматизировать процессы, управлять угрозами и внедрять передовые инструменты для безопасной разработки.Исследование и внедрение передовых инструментов для безопасной разработки (SSDLC)
Вы будете заниматься интеграцией современных решений, таких как инструменты статического анализа кода (SAST), анализа зависимостей (SCA), динамического тестирования (DAST), фаззинга и других. Важно не только внедрять существующие инструменты state-of-the-art, но и исследовать актуальные разработки с открытым исходным кодом для замены устаревших решений. Внедрение процессов и инструментальной поддержки SSDLC в новые сервисы Yandex Cloud
Yandex Cloud активно развивается, и новые сервисы требуют применения наших стандартов безопасности. Вам предстоит интегрировать инструменты и процессы SSDLC в эти сервисы, а также обучать команды разработчиков принципам безопасной разработки. Поддержка стабильности и повышение эффективности процесса SSDLC
Вашей задачей станет поддержание стабильности CI/CD-пайплайнов SSDLC. Вы будете разрабатывать собственные решения для обеспечения безопасной разработки, контролировать соблюдение принципов SSDLC всеми сервисами, развивать мониторинг эффективности процессов, автоматизировать политики безопасности и добавлять проверки на этапах пул-реквеста. Сопровождение сертификаций и аудитов
Вы будете участвовать в формировании артефактов процесса SSDLC для регуляторов и аудиторов, а также автоматизировать рутинные задачи. Вам предстоит консультировать сервисы по реализации требований.* Писали на Python, Go, Java или C++: наша команда разрабатывает тулинг на Python * Работали с *nix-системами, системами контейнеризации * Свободно ориентируетесь в процессах безопасного цикла разработки приложений (SSDLC) и умеете анализировать безопасность программного кода * Умеете строить процессы информационной безопасности, подкреплять их нужными инструментами и автоматизацией * Знакомы с DevSecOps-практиками, активно применяли инструментарий для SAST, SCA, DAST, фаззинга, выстраивания пайплайнов CI/CD, анализа инфраструктуры на уязвимости* Уверенно ориентируетесь в TeamCity и разрабатывали на Kotlin DSL * Работали с опенсорс статическими анализаторами * Внедряли фаззинг-тестирование с использованием AFL++, LibFuzzer, Syzkaller, Jazzer, gofuzz * Проводили исследования или публиковали статьи в области ИБ * Занимались аудитом архитектуры программного обеспечения с точки зрения информационной безопасности * Активный участник профессиональных сообществ * Имеете международные сертификаты в области ИБ * Интересуетесь современными публичными облаками и их безопасностью * Имеете опыт ФСТЭК-сертификации
Вы будете заниматься интеграцией современных решений, таких как инструменты статического анализа кода (SAST), анализа зависимостей (SCA), динамического тестирования (DAST), фаззинга и других. Важно не только внедрять существующие инструменты state-of-the-art, но и исследовать актуальные разработки с открытым исходным кодом для замены устаревших решений. Внедрение процессов и инструментальной поддержки SSDLC в новые сервисы Yandex Cloud
Yandex Cloud активно развивается, и новые сервисы требуют применения наших стандартов безопасности. Вам предстоит интегрировать инструменты и процессы SSDLC в эти сервисы, а также обучать команды разработчиков принципам безопасной разработки. Поддержка стабильности и повышение эффективности процесса SSDLC
Вашей задачей станет поддержание стабильности CI/CD-пайплайнов SSDLC. Вы будете разрабатывать собственные решения для обеспечения безопасной разработки, контролировать соблюдение принципов SSDLC всеми сервисами, развивать мониторинг эффективности процессов, автоматизировать политики безопасности и добавлять проверки на этапах пул-реквеста. Сопровождение сертификаций и аудитов
Вы будете участвовать в формировании артефактов процесса SSDLC для регуляторов и аудиторов, а также автоматизировать рутинные задачи. Вам предстоит консультировать сервисы по реализации требований.* Писали на Python, Go, Java или C++: наша команда разрабатывает тулинг на Python * Работали с *nix-системами, системами контейнеризации * Свободно ориентируетесь в процессах безопасного цикла разработки приложений (SSDLC) и умеете анализировать безопасность программного кода * Умеете строить процессы информационной безопасности, подкреплять их нужными инструментами и автоматизацией * Знакомы с DevSecOps-практиками, активно применяли инструментарий для SAST, SCA, DAST, фаззинга, выстраивания пайплайнов CI/CD, анализа инфраструктуры на уязвимости* Уверенно ориентируетесь в TeamCity и разрабатывали на Kotlin DSL * Работали с опенсорс статическими анализаторами * Внедряли фаззинг-тестирование с использованием AFL++, LibFuzzer, Syzkaller, Jazzer, gofuzz * Проводили исследования или публиковали статьи в области ИБ * Занимались аудитом архитектуры программного обеспечения с точки зрения информационной безопасности * Активный участник профессиональных сообществ * Имеете международные сертификаты в области ИБ * Интересуетесь современными публичными облаками и их безопасностью * Имеете опыт ФСТЭК-сертификации