DevSecOps
АФЛТ-системс
О компании:
ООО «АФЛТ-Системс»– официально аккредитованная в Минцифры ИТ-компания, основанная в сентябре 2022 года. Входит в состав Группы компаний «Аэрофлот». Основное направление деятельности– внедрение, проектирование и реализация ключевых инициатив и проектов Группы компаний «Аэрофлот» в области информационных технологий.
Чем предстоит заниматься:
1. Участие в проектировании архитектур CI/CD и процессов безопасной разработки:
– Участие в разработке и внедрении конвейеров CI/CD с учетом требований безопасности на каждом этапе.
– Определение оптимальных методов и технологий для реализации требований безопасности.
2. Внедрение, настройка и поддержание работы инструментов продуктовой безопасности в CI/CD-пайплайнах (как в существующих, так и в новых):
– Выбор и автоматизация инструментов безопасности в процессы непрерывной интеграции и доставки (CI/CD).
– Настройка и поддержка работы этих инструментов для обеспечения безопасности на всех этапах разработки и деплоя (размещения готовой версии программного обеспечения на платформе).
– Внедрение механизмов безопасности в системы непрерывной интеграции и доставки.
3. Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки:
– Тестирование и внедрение новых инструментов и методик для повышения безопасности.
– Развитие существующих процессов разработки для улучшения автоматизации выявления дефектов.
4. Стандартизация работы с уязвимостями:
– Участие в разработке и внедрение стандартов и процедур для выявления, устранения и управления уязвимостями.
– Обеспечение соблюдения этих стандартов всеми командами разработки.
5. Оценка уязвимости приложений/сервисов к различным атакам:
– Проведение тестов на проникновение и анализа уязвимостей.
– Оценка рисков и уязвимостей для различных типов атак.
6. Проведение Code Review:
– Взаимодействие с командами разработки для устранения потенциальных дефектов.
– Проведение демонстрации эксплуатации уязвимостей, выявленных в ходе Code Review и инструментами безопасности.
– Повышение осведомленности команд разработки по процессам безопасной разработки.
7. Построение модели угроз информационной безопасности приложений/сервисов и формирование предложений в части механизмов защиты:
– Участие в разработке моделей угроз для идентификации потенциальных рисков.
– Формирование предложений и рекомендаций по улучшению защиты.
8. Реализация задач по безопасности K8s:
– Выбор инструментов для выявления недостатков в конфигурации компонентов Kubernetes;
– Реализация мер безопасности для различных компонентов Kubernetes.
Ваши навыки и опыт:
– Опыт работы в области обеспечения безопасности контейнерной инфраструктуры и систем оркестрации (hardening k8s, runtime security, network policy, rbac, secret management, container security, практическое применение security-сканеров SAST, SCA, DAST (как плюс – IAST));
– Понимание причин возникновения и принципов эксплуатации уязвимостей приложений;
– Умение выявлять архитектурные недочеты и риски в приложениях/сервисах;
– Умение формировать (формулировать) и контролировать требования ИБ к продуктам;
– Опыт написания скриптов для автоматизации задач;
– Понимание принципов работы микросервисной архитектуры и подходов к безопасности микросервисов (AppSec/WebAppSec (SAST, DAST, SCA) и DevSecOps (SDLC/SSDLC, Kubernetes, Docker));
– Понимание того, как работают угрозы из OWASP Top 10, OWASP API Security Top 10, OWASP Mobile Top 10, CWE Top 25;
– Знание стандартов в области безопасности приложений и умение их применять (OWASP ASVS, OWASP SAMM и т.п.).
Условия:
– Уникальная возможность участвовать в создании новых продуктов для группы компаний Аэрофлот.
– Возможность работать над новаторскими проектами в области гражданской авиации.
– Гибридный режим работы (м. Новокузнецкая).
– Работа в аккредитованной ИТ компании.
– Официальное трудоустройство с первого рабочего дня и “белая” заработная плата.
– Пакет ДМС.
– Специальные условия на покупку авиабилетов для тебя, твоей семьи и твоих родителей.
– Команда профессионалов, в кругу которых ты не будешь брошен один на один с проблемой.
– Индивидуальный подход к профессиональному росту и развитию внутри компании.
