AppSec & DevSecOps Jobs

2021-06-07 12:56:24 DevSecOps, РСХБ-интех

ЗП: 220 000 - 250 000 net

Ваши задачи:

-Анализ бизнес- и функциональных требований, архитектуры информационных систем и корпоративных приложений
-Разработка и контроль выполнения требований ИБ к информационным системам, приложениям и инструментах CI/CD (GitLab)
-Внедрение инструментов SAST/DAST/SCA/BCA в процесс разработки и поставки кода на среды
-Развитие и сопровождение контрольных функций ИБ в части анализа исходного кода, контроля микросервисных архитектур, управления уязвимостями ИБ, развитие практик DevSecOps
-Контроль разделения (разграничения) промышленных сред, сред тестирования и разработки
-Участие в задаче развития платформы управления инцидентами ИБ
-Консультирование разработчиков корпоративных приложений по вопросам ИБ
-Участие в расследование инцидентов ИБ
-Разработка нормативной документации в части обеспечения информационной безопасности приложений
-Руководство и развитие направления обеспечения безопасности приложений.

Наши ожидания от вас:

-Опыт администрирования систем контейнеризации и оркестрации, конфигурация их безопасности
-Понимание основных угроз для контейнерных приложений и способов защиты от них
-Понимание процессов CI/CD, Secure SDLC, DevSecOps
-Понимание архитектурных принципов построения и работы микросервисных приложений
-Понимание взаимодействий приложений на разных уровнях OSI
-Опыт использования скриптовых языков для автоматизации рутинных операций
-Понимание принципов организации безопасности Public и Private API
-Навыки использования средств SAST/DAST обязательны (CheckMarx и Nexus)
-Опыт разработки нормативной документации
-Опыт написания скриптов и SQL-запросов
-Знание принципов работы микросервисных приложений, опыт работы с Docker и Kubernetes, понимание принципов обеспечения безопасности приложений на основе микросервисов (желательно знание продуктов Aqua Security)

Будет являться плюсом:

-Практический опыт разработки на любом из языков
-Понимание языков Java, Python, Go, JS
-Опыт работы с GitLab pipeline
-Знание ОС Linux и Windows на уровне администратора

По всем вопросам писать: @vpolinn Открыть/Комментировать

2021-06-07 09:45:24 DevSecOps, Deeplay

ЗП: 200к-250к на руки

Стек технологий: k8s, openshift, bare-metal, windows, linux.

Чем ты будешь заниматься на рабочем месте:
-Внедрение средств статического анализа кода (SAST) в цикл CI/CD;
- Внедрение средств динамического анализа (DAST);
- Внедрение средств для поиска чувствительной информации (ключи, пароли и прочее в гите/коде);
- Организация инфраструктуры хранения секретов
- Построение и внедрения модели управления сетевыми политиками в Kubernetes (NetworkPolicies, GateKeeper)
- Мониторинг и проверка существующей инфраструктуры на безопасность
- Предложение и внедрение решений, повышающих общий уровень безопасности инфраструктуры

Ты подходишь нам, если:
- У тебя есть опыт внедрения и сопровождения SAST- и DAST-решений;
- Умеешь провести комплексный аудит безопасности инфраструктуры.

Дополнительно предлагаем:
- Гибкий график
- Оплата обучения внутри и вне компании

Контакты: @AllaStarodumova Открыть/Комментировать

2021-06-03 11:31:06 Старший эксперт по безопасности разработки, Альфа-Банк

ЗП: 150-250к гросс по результатам собеседования + квартальные премии

Что предстоит делать:
- Заниматься построением DevSecOps (внедрение практик по сканированию образов, Dockerfile, IaC, поиску секретов и так далее)
- Анализировать результаты сканирования SAST (Fortify, CodeQL), SCA (Nexus IQ, Dependency Check), DAST (WebInspect, Netsparker, OWASP ZAP)
- Консультировать команды разработки по возникающим вопросам, в том числе ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
- Участвовать в проработке мер по повышению безопасности Kubernetes / OpenShift (CR в конфигурационные файлы, RBAC, повышение безопасности API, RBAC, NP, построение безопасности архитектуры, работа с OPA, внедрение Container Security решений)
- Прорабатывать вопросы безопасности CI/CD процессов (Jenkins, GitLab, Bamboo)
- Внедрять и развивать Vault (CyberARK)

Также есть возможность:
- Участвовать в разработке собственной платформы оркестрации DevSecOps (Python FastAPI, Vue.js)

Ты нам подходишь, если (любое из условий):
- Есть опыт в качестве AppSec специалиста: знаешь основные угрозы веб-приложений и методы защиты от них, работал с уязвимостями в коде, умеешь внедрять инструменты сканирования в CI/CD
- Есть опыт в построении DevOps и есть опыт выстраивания безопасности Kubernetes / OpenShift встроенными средствами + OPA

Контакты: @dvyakimov Открыть/Комментировать

2021-05-27 12:32:23 DevSecOps, DPD

ЗП: 180к - 230к gross (+квартальные премии)

Ваши задачи:

- Анализ бизнес- и функциональных требований, архитектуры информационных систем и корпоративных приложений;
- Разработка и контроль выполнения требований ИБ к информационным системам, приложениям и инструментах CI/CD;
- Внедрение инструментов ИБ в процесс разработки и поставки кода на среды;
- Развитие и сопровождение контрольных функций ИБ в части анализа исходного кода, контроля микросервисных архитектур, управления уязвимостями ИБ, развитие практик DevSecOps;
- Контроль разделения (разграничения) промышленных сред, сред тестирования и разработки;
- Участие в задаче развития платформы управления инцидентами ИБ;
- Консультирование разработчиков корпоративных приложений по вопросам ИБ;
- Участие в расследование инцидентов ИБ;
- Разработка нормативной документации в части обеспечения информационной безопасности приложений;
- Руководство и развитие направления обеспечения безопасности приложений.

Наши ожидания:

- Опыт администрирования систем контейнеризации и оркестрации, конфигурация их безопасности;
- Понимание основных угроз для контейнерных приложений и способов защиты от них;
- Понимание процессов CI/CD, Secure SDLC, DevSecOps;
- Понимание архитектурных принципов построения и работы микросервисных приложений;
- Понимание взаимодействий приложений на разных уровнях OSI;
- Опыт использования скриптовых языков для автоматизации рутинных операций;
- Понимание принципов организации безопасности Public и Private API;
- Навыки использования средств SAST/DAST обязательны;
- Опыт разработки нормативной документации;
- Опыт написания скриптов и SQL-запросов;
- Знание принципов работы микросервисных приложений, опыт работы с Docker и Kubernetes, понимание принципов обеспечения безопасности приложений на основе микросервисов.

Будет являться плюсом:

- Практический опыт разработки;
- Понимание языков Java(Spring), JavaScript(Vue, React, Angular), TypeScript, Kotlin, Swift;
- Опыт работы с GitLab pipeline;
- Знание ОС Linux и Windows - уровень администратора.

Контакты: @donnikanton

https://hh.ru/vacancy/44654319?query=devsecops Открыть/Комментировать

2021-05-27 10:49:43 DevSecOps Engineer, Сбер

ЗП: 150-250к на руки

Тебе понравится у нас, если:
· Ты знаешь, что такое подход SDLC, практика статического анализа кода и готов погрузиться в их применение в реальном мире;
· Тебя вдохновляют вызовы и масштабные задачи, такие как Run практики на 1.5К команд разработки и взаимодействие с большим количеством команд;
· Тебе нравится исследовать и совершенствовать инструменты анализа исходного кода, чтобы выявлять сочные уязвимости в реальных приложениях и помогать Банку быть безопасным;
· Ты ценишь развитие, поэтому с удовольствием выделяешь время на анализ технологических трендов в области Application Security (новые вектора атак, публичные уязвимости, инструментарий, стандарты, практики и пр.).

Чем предстоит заниматься:
· Консультации пользователей - команд разработки по возникающим вопросам, в том числе, ревью кода приложения команды, анализ применимости угроз ИБ, выявленных инструментом к данному приложению;
· Анализ ошибок, возникающих в работе инструментов DevSecOps;
· Взаимодействие с 1-ой, 2-й линиями поддержки и вендором при возникновении инцидентов;
· Трекинг задач и коммуникация с вендором в issue-tracking системах и почте;
· Участие в пилотных проектах в рамках Change активностей. В случае с взаимодействием с вендором - практика английского языка;
· Сопровождение стендов - "песочниц", которые используются для тестирования обновлений решений и пилотных проектов.

Ты нам подходишь, если:
· Умеешь найти и обезвредить типовые уязвимости в современных приложениях (OWASP, CWE);
· Умеешь читать чужой код, диагностировать проблемы и искать корневые причины;
· Знаком со средствами автоматизации DevOps (Jenkins, groovy pipeline);
· Легко обращаешься со скриптовыми языками программирования (Bash / Powershell / Python);
· Понимаешь особенности популярных языков программирования и модных фреймворков;
· У тебя хорошие коммуникационные навыки;
· Знаешь английский язык на уровне pre-intermediate и выше.


Контакт: Екатерина (@katemisha) Открыть/Комментировать

2021-05-26 14:36:54 Специалист по информационной безопасности / DevSecOps уровня junior+, middle
Для сервисов Kick Ecosystem

ЗП: 150-180к net
Удаленно

Задачи и должностные обязанности:
- Выполнение автоматизированных и ручных проверок безопасности инфраструктуры и веб-приложений.
- Автоматизация процессов, связанных с выполнением проверок.
- Анализ событий безопасности в системах мониторинга и реагирование на них.
- Участие в конфигурировании инфраструктуры и веб-приложений для соответствия требованиям безопасности / снижения рисков.
- Участие во внедрении решений и процессов безопасности.
- Операционные задачи по управлению доступом к корпоративным системам.

Требуемые навыки и знания:
- Опыт работы в направлениях информационной безопасности.
- Навыки работы с AWS, Kubernetes, Git, ELK/EFK.
- Навыки работы с СУБД, опыт использования SQL-запросов.
- Навыки программирования на Python, Bash.
- Понимание принципов функционирования, опыт применения инструментов статического и динамического анализа безопасности веб-приложений.
- Понимание принципов функционирования, опыт применения инструментов поиска уязвимостей в инфраструктуре.
- Опыт применения средств безопасности WAF, Firewall и пр.
- Понимание принципов функционирования сетей и межсетевого взаимодействия.
- Наличие сертификатов ISC, Offensive Security, EC-Council и т.п. в области безопасности приветствуется, но не является обязательным.

Контакт для связи: @marina_chirko Открыть/Комментировать

2021-05-24 14:59:06 DevOps/ Container Security Engineer, Swordfish Security

ЗП: +/- 160к, обсуждается индивидуально

Обязанности:
- Исследование, сравнение, настройка и эксплуатация решений по обеспечению безопасности систем контейнеризации (docker / kubernetes / OpenShift);
- Внедрение технические решения в инфраструктуре заказчиков;
- Участие в пресейл-деятельности (проведение пилотных проектов, проведение демонстраций, организации обучающих workshop для клиентов);
- Консультация технических специалистов заказчика по вопросам построения безопасной инфраструктуры контейнеризированных систем;

Требования:
- Понимание актуальной модели угроз и потенциальных векторов атак при использовании систем контейнеризации;
- Опыт внедрения или администрирования продуктов Docker/Kubernetes/OpenShift;
- Понимание основ безопасности Kubernetes/Docker (RBAC, NP, PSP, настройка по CIS, типовые уязвимости, умение разбираться в CVE, небезопасная конфигурация Pod, Deployment, Dockerfile);
- Опыт интеграции существующих инструментов безопасности в CI/CD пайплайн (TeamCity, Jenkins, Gitab CI);
- Навыки администрирования, траблшутинга и безопасной конфигурации серверных ОС Windows, Linux;

Будет плюсом:
- Опыт внедрения решений для обеспечения безопасности контейнеров на всех этапах жизненного цикла разработки:
* Aqua Enterpise
* Prisma
* Falco
* NeuVector
* Trivy
* Clair
* Hadolint и другими;
- Опыт внедрения или администрирования:
* Облачных платформ и встроенных средств защиты (Microsoft Azure, AWS, Яндекс.Облако, GCP);
* Решений по обеспечению безопасности облачных платформ (AWS / Azure / GCP / etc );
- Наличие облачной сертификации (AZ-500, AWS Certified Security) будет плюсом;
- Опыт работы с Istio, OPA, наличие CKA/CKS сертификатов;
- Английский язык – знания, достаточные для изучения документации и общения с англоязычной техподдержкой;

Контакт: @Mr_R1p Открыть/Комментировать

2021-05-18 19:40:15 AppSec эксперт, команда приложения Кошелёк

Зарплатная вилка 250 - 400 тысяч на руки.

Задачи, которые предостоит решать:
• тестирование безопасности и проверки кода для повышения безопасности программного продукта;
• построение процесса безопасной разработки ПО (security SDLC);
• консультирование разработчиков и тестировщиков о методах безопасного кодирования;
• анализ угроз и участие в аудитах безопасности мобильный приложений.

Что для нас важно:
• знание важных аспектов безопасности, включая OWASP Top 10, OWASP Mobile Top 10, и передовых методов безопасного кодирования, а также стандарты соответствия безопасности (NIST);
• знания инструментов анализа приложений (Burp, ZAP, Acunetix, Checkmarx) и практический опыт работы с ними;
• хорошие коммуникационные навыки. Будет необходимо рассказывать и объяснять команде принципы безопасного кодирования, а также внедрять процессы;
• желательно иметь опыт реверс-инжиниринга и анализа вредоносного кода, в особенности андроид приложений;
• желательно знание различных стандартов и правил безопасности (PCI DSS, ISO 27001, GDPR);
• дополнительным плюсом будет участие в bug-bounty и написание собственных инструментов для поиска уязвимостей.

Со своей стороны предлагаем:
• участие в развитии полезного и популярного приложения, возможность сделать мир лучше;
• оформление по ТК РФ с первого дня работы, конкурентную белую зарплату, ДМС;
• оплату мобильной связи, частичную компенсацию оплаты питания;
• гибкий график, возможность полностью удалённой работы;
• помощь с переездом для кандидатов из других городов (welcome бонус) - если переезд в Петербург актуален;
• оплату профильных курсов и конференций;
• спорт 7 раз в неделю в офисе — йога и силовые тренировки;
• командные мероприятия;
• комфортный офис в центре города (5 минут от станции метро Чкаловская).

Пишите @nshishova - буду рада обсудить детали. Открыть/Комментировать

2021-05-18 13:22:51 SRE|DevSecOps Senior, Insales

ЗП: 250-300 т.р. net (увеличение вилки возможно)

## Обязанности

- Внедрение DevSecOps (eg: SAST|DAST|RAST|etc);
- Участие в построении, поддержке и модернизации ИТ инфраструктуры компании (в области ИБ);
- Проведение аудита существующей инфраструктуры на предмет дыр и уязвимостей;
- Написание ЛНД, инструкций по использованию внедряемых продуктов;
- Шаринг знаний в рамках отдела, для уменьшения рабочей нагрузки и во избежание выгорания.

## Требования

- Опыт внедрения DevSecOps;
- Понимание методов и подходов к построению систем ЗИ;
- Знание сетей и сетевых протоколов TCP/IP;
- Опыт написания скриптов автоматизации на Bash\Python\Golang;
- Опыт работы с UNIX\Linux системами.

## Примеры рабочих задач

- Разработать и внедрить матрицу RBAC|ABAC;
- Выбрать и внедрить компоненты проверки исходного кода на наличие чувствительной информации (e.g.: Внутренние IP адреса|пароли|токены доступа|etc);
- Внедрить компоненты SAST|RAST|DAST для минимизации рисков проникновения в инфраструктуру компании или разрабатываемого программного обеспечения через уязвимости платформы;
- Циклическая задача по реинженирингу систем логирования и мониторинга для повышения наблюдаемости системы.

## Рабочее окружение|Стек

- Репозиторий кода: GitLab|GitHub;
- CI: GitLab CI;
- CD: Shipit-deploy;
- Docker registry: GitLab Container Registry;
- ЯП: Ruby|JS.

Формат: Офис|Удаленный (на выбор)
Занятость: Полная

Контакты: @Asgoret Открыть/Комментировать

2021-05-18 13:21:14 DevSecOps Engineer for Parimatch Tech

Salary: up to 5000$ (Depends on interview results)
Location: Kyiv or full remote

The main goal of the team is to provide Security as a service and automate all security processes. You'll have to work on a project with a diverse stack of modern technologies, cloud services / ELC stack, large infrastructure, and about two hundred unique product services.

We invite those who fired up to:
— Design, build and maintain tools/processes to effectively secure our environments;
— Conduct automated / regular infrastructure audits (IAC security) - AWS services / terraform / k8s + helm + flux;
— Drive vulnerability management process for our environments;
— Participate in SIEM support (ELK stack);
— Help with infrastructure designs from security side, plan new infrastructure security requirements;
— Help with source code security reviews for various languages;
— Help in DevSecOps tasks such as container security, hardening, third-party analysis, baselining, and CI/CD.

Essential professional experience:
— 2+ years of experience in product security;
— Experience with UNIX / Linux;
— Knowledge of containers (+k8s) and cloud technologies (AWS);
— Experience with languages such as: Python, bash etc;
— Ability to identify and remediate vulnerabilities.

Feel free to contact me: @panastasiia, anastasiia.panasenko@pm.bet Открыть/Комментировать