DevSecOps Engineer

Наш стартап активно развивается на рынке hr-tech, предлагая современные решения для оптимизации бизнес-процессов. Мы расширяем нашу команду и в поиске опытного DevSecOps Engineer, который сосредоточится на обеспечении безопасности процессов разработки и поставки нашего продукта.

Какие предстоят задачи?

• Работа в продуктовой команде в рамках Agile-процессов с подчинением Руководителю отдела разработки;
• Обеспечение безопасности процессов разработки и поставки программного обеспечения;
• Внедрение и поддержка инструментов и практик DevSecOps;
• Анализ уязвимостей и решение проблем безопасности;
• Развертывание и настройка инфраструктуры в Yandex Cloud;
• Настройка и администрирование GitLab;
• Создание и поддержка Docker образов и контейнеров.
• Конфигурация Nginx в качестве прокси-сервера;
• Настройка CI/CD для Java приложений в GitLab;
• Настройка Maven и Nexus для управления зависимостями и артефактами Java приложений;
• Использование Ansible, Terraform и Yandex CLI для автоматизации развертывания и управления инфраструктурой (IaC);
• Настройка Yandex 360 и Yandex Трекера для организации работы команды;
• Сборка и подготовка приложений для Linux систем, включая Astra Linux;
• Установка и настройка систем мониторинга на базе Prometheus и Zabbix;
• Участие в подготовке и настройке оборудования и ПО для проведения тестирования приложений.

Используемые технологии (разработка):

• Бэкенд: Spring Boot, Java, PostgreSQL
• Сервер: Nginx, Ubuntu
• Фронтенд: JavaScript, Nx/js, TypeScript, React, Next.js, Redux, Axios
• DevOps: GitHub, GitHub Actions, AWS, S3, OpenID Connect
• Тестовое окружение: Spring Boot Test, JUnit, Mockito, REST Assured
• Архитектура модульная, REST API

Нам важно:

• Способность работать без четких инструкций и организовывать свой процесс работы
• Опыт обеспечения безопасности процессов разработки и поставки программного обеспечения
• Навыки внедрения и поддержки инструментов и практик DevSecOps
• Умение настраивать инструменты CI/CD (Jenkins, GitLab/GitHub)
• Глубокое понимание DevSecOps:

Знание и опыт применения ключевых принципов и практик DevSecOps для интеграции безопасности в каждый этап жизненного цикла разработки и поставки программного обеспечения

• Инструменты автоматизации безопасности:

Умение внедрять, настраивать и поддерживать инструменты автоматизации безопасности, такие как системы контроля версий (например, Git), средства статического и динамического анализа кода (например, SonarQube, Veracode), системы управления конфигурациями (например, Ansible, Puppet), системы мониторинга безопасности (например, Security Onion), а также инструменты для сканирования уязвимостей (например, Nessus, OpenVAS)

• Обеспечение безопасности в CI/CD: Навыки интеграции безопасности в процессы непрерывной интеграции и доставки (CI/CD), включая настройку и поддержку пайплайнов CI/CD для автоматического выполнения тестов на безопасность, статического и динамического анализа кода, а также сканирования контейнеров и образов Docker на наличие уязвимостей;
• Управление конфигурациями и инфраструктурой как код для инфраструктуры Яндекса: Опыт работы с концепциями и инструментами управления конфигурациями и инфраструктурой как код (IaC), такими как Terraform, Yandex.Cloud, Docker Compose, Kubernetes, для обеспечения безопасности инфраструктуры и ее автоматического развертывания и масштабирования;
• Мониторинг и реагирование на инциденты: Навыки настройки систем мониторинга безопасности и реагирования на инциденты, включая анализ журналов событий, обнаружение и анализ аномального поведения, а также регистрацию и реагирование на инциденты безопасности, в том числе DDoS атаки;
• Проведение пентестов и анализ уязвимостей: Опыт проведения пентестов, включая сканирование и анализ сетевых и веб-приложений на наличие уязвимостей, а также оценку безопасности инфраструктуры и систем. Регистрация инцидентов и анализ отражения DDoS атак также являются важными навыками. Дополнительные навыки (будет плюсом): Опыт работы в сфере финансовых технологий (fintech);
• Знание и опыт внедрения методологии PCI DSS для обеспечения безопасности платежных приложений и транзакций.

Мы предлагаем:

• прозрачную систему мотивации (fix, полугодовые премии по итогам выполнения личных целей);
• уютный офис в центре города (можно совмещать работу из офиса с удаленкой из СПб, работа преимущественно удаленная, но могут быть очные встречи в офисе);
• work-life balance (работаем в графике 5/2 с 10 до 18, в пятницу – до 17)
• оформление по ТК РФ с соблюдением всех гарантий (находимся в процессе получения статуса аккредитованной IT-компании);
• 31 день оплачиваемого отпуска;
• программу адаптации для комфортного погружения в рабочую среду
• обучение и развитие: внутреннее обучение продукту, 50-100% оплаты внешнего обучения за счет компании;
• перспективы карьерного развития;
• активно развивающуюся корпоративную культуру: проводим тимбилдинги, корпоративы, ходим на квизы;
• гибкие процессы, быстрое принятие решений на всех этапах, развиваем культуру обратной связи
• поддержку инициативы от сотрудников
• зону отдыха в офисе – кухня с фруктами и снеками, PlayStation, TV, настольные игры.