DevSecOps-инженер в Гринатом
Гринатом — крупнейший разработчик ПО для атомной отрасли, ИТ-интегратор Госкорпорации «Росатом»: более 8000 сотрудников в 22 городах России, 10 лет экспертизы и международные проекты ⚡
Кого ищут: DevSecOps-инженера в команду информационной безопасности. Подробнее о команде расскажут сами коллеги!
Мы занимаемся созданием платформы для разработки безопасного программного обеспечения, проводим киберанализ и оцениваем эффективность защитных механизмов. Наша ответственность включает проверку различного программного обеспечения, операционных систем, систем виртуализации и баз данных на наличие уязвимостей.
Основные задачи, которые мы выполняем, включают настройку, оптимизацию и автоматизацию различных инструментов оценки безопасности, таких как статический, композиционный и динамический анализ, фаззинг и тестирование на проникновение. Мы также проводим анализ обнаруженных уязвимостей, оцениваем их степень критичности и предлагаем решения для их устранения.
В дополнение к этому, мы составляем аудиторские отчеты и помогаем разработчикам исправлять обнаруженные проблемы. Мы также предоставляем консультации внутренним и внешним командам по вопросам безопасного SSDLC.
- Настройка, автоматизация и повышение эффективности и безопасности SAST, DAST, SCA, OSA, Penetration testing, Fuzzing проверок
- Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков
- Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний
- Консультирование внутренних и внешних команд в вопросах организации SSDLC
- Участие в разработке архитектуры и создании платформы разработки безопасного ПО
- Опыт работы на аналогичной должности от 2х лет
- Понимание подхода SSDLC и стандартов РБПО
- Опыт автоматизации и внедрения:
○ SAST (Semgrep, SonarQube, KICS, GitLeaks)
○ SCA/OSS (OWASP DepTrack, Trivy, Grype)
○ DAST (OWASP ZAP, Nuclei, SQLMap)
○ Fuzzing (AFL++, LibFuzzer)
○ Vulnerability management (DefectDojo) - Опыт администрирования Linux/Unix
- Хорошие знания и опыт работы c:
○ Контейнеризацией (Docker, Podman)
○ Виртуализацией (CGroups, Namespaces, KVM)
○ Оркестрацией (Docker-compose, Kubernetes, ArgoCD) - Опыт работы с:
○ CI/CD (Jenkins, Gitlab CI и др.)
○ Cистемами мониторинга (Prometheus, Zabbix)
○ SCM (Ansible, Terraform)
○ SQL и базами данных
○ Secret management (Vault)
○ Package & Container Registry (Nexus, Gitlab) - Опыт администрирования Nginx
- Опыт разработки и программирования на скриптовых ЯП (Bash, Python, JS)
- Уверенное понимание сетевых технологий, процессов и протоколов
- Удобный формат работы – удалённо или из офиса (Москва или другой город присутствия офисов)
- ДМС со стоматологией с первого дня
- Карьерные консультации и поддержку вашего развития
- Собственную онлайн-платформу с программами профессионального и личностного роста – от инженерных курсов до изучения иностранных языков
- Участие в конференциях, тренингах и конкурсах профессионального мастерства
- Спортивные соревнования, внутренние проф. сообщества и геймификацию
Какие практикумы Rebrain будут плюсом: DevOps, Linux, Kubernetes, Docker, Prometheus, Vault, Bash, Python
Практикумы будут плюсом, но в первую очередь команда будет оценивать ваши знания и навыки на сегодня, стоит подготовиться ;)
Пишите в Телеграмм Владиславу, рекрутёру команды — @Stalkerrr1997