DevOpsSec инженер

О компании и команде

ИТ-Холдинг Т1 — один из лидеров российского ИТ-рынка, партнёр ключевых производителей и разработчиков в сфере ИТ. По версии аналитических агентств CNews Analytics, TAdviser и RAEX, мы входим в топ-3 крупнейших российских ИТ-компаний. В нашем портфеле уже 70+ востребованных на рынке ИТ‑продуктов и услуг, ключевые – внесены в ЕРРП (реестр российского ПО).

В Т1 стабильность и финансовая надежность, а также социальные гарантии гармонично сочетаются с преимуществами ИТ‑компании — открытостью, инновациями и гибридным форматом работы.
Мы стремительно растём, масштабируемся и ищем новых специалистов в команду!

В рамках финтех‑направления мы разрабатываем инновационные решения для цифровизации финансового сектора: современные финтех‑продукты, системы работы с большими данными и комплексные решения для фронт‑ и бэк‑офисов. В продуктовом портфеле — создание современных высоконагруженных фронтальных систем, омниканальных продуктов и высоконадежных платформ для поддержки банковского бизнеса.

Мы работаем с крупнейшими организациями банковского сектора, ведущими финансовыми компаниями и активно выстраиваем партнерскую работу на Ближнем Востоке, в Африке и Юго‑Восточной Азии. Охват пользователей продуктов составляет более 15 миллионов человек.

Вместе с нами тебе предстоит:

• Выстраивание DevSecOps-процессов (внедрение практик по сканированию образов, Dockerfile, IaC, поиску секретов, etc.).
• Проработка мер и реализация процессов по повышению безопасности проектов в Kubernetes (CR в конфигурационные файлы, повышение безопасности API, RBAC, построение безопасности архитектуры, внедрение Container Security решений).
• Консультирование команды DevOps-инженеров по возникающим вопросам безопасной разработки.
• Настройка и поддержка SAST/SCA/DAST инструментов.
• Участие в анализе результатов сканирования SAST, SCA, DAST и консультирование команды по выявленным уязвимостям.
• Выстраивание необходимых процессов обеспечения безопасности образов контейнеров на всех этапах жизненного цикла.
• Участие в проектировании архитектуры CI/CD и процессов безопасной разработки:
  • участие в разработке и внедрении конвейеров CI/CD с учетом требований безопасности на каждом этапе.
• Внедрение, настройка и поддержка работы инструментов безопасности в CI/CD-пайплайнах (как в существующих, так и в новых):
  • автоматизация инструментов безопасности в CI/CD;
  • настройка и поддержка работы этих инструментов для обеспечения безопасности на всех этапах разработки (размещения готовой версии программного обеспечения на платформе);
  • внедрение механизмов безопасности в системы непрерывной интеграции и доставки.
• Пилотирование и адаптация инструментов и практик для развития и автоматизации процессов безопасной разработки:
  • тестирование и внедрение новых инструментов и методик для повышения безопасности;
  • развитие существующих процессов разработки для улучшения автоматизации выявления дефектов.
• Реализация стандартизированного процесса управления уязвимостями (ASOC):
  • участие в разработке и внедрение стандартов и процедур для выявления, устранения и управления уязвимостями;
  • обеспечение соблюдения этих стандартов всеми командами разработки.
• Реализация задач по безопасности K8s:
  • реализация мер безопасности для различных компонентов Kubernetes.

Какие знания и навыки для нас важны:

• Опыт работы с Docker/Kubernetes.
• Знание технологического стека и механизмов контейнеризации.
• Опыт работы с системами управления конфигурациями Ansible/Terraform/Chef и т.п.
• Опыт работы с системами управления политиками безопасности K8S (OPA/Gatekeeper, Kyverno).
• Знание и опыт применения методик/инструментов по автоматизированному поиску уязвимостей (fuzzing/SAST/DAST/SCA).
• Понимание принципов микросервисной архитектуры приложений.
• Знание базовых принципов подходов DevSecOps.
• Понимание актуальных рисков контейнеризации, отличия от рисков виртуализации, доступных инструментов и мер минимизации рисков.
• Знание английского на уровне чтения технической литературы.
• Понимание современных DevOps-концепций и опыт использования средств автоматизации DevOps (GitLab, Jenkins, groovy pipeline).

Будет плюсом:

• Наличие профильных сертификатов (CKS, CKAD или KCNA).
• Наличие собственных разработок или участие в open-source проектах.
• Опыт участия в профильных конференциях в качестве докладчика.
• Наличие публикаций по компьютерной безопасности.
• Знание стандартов и фреймворков безопасности (ISO 27001, NIST, CIS Benchmarks).
• Базовые навыки программирования/скриптинга (Python, Bash, Go).