DevSecOps

MODUS X — українська ІТ-компанія, команда 500+ інженерів, архітекторів, спеціалістів з безпеки та датасаєнтистів. Ми розпочали та продовжуємо супровід цифрової трансформації ДТЕК, яка першою в енергетиці України стала на шлях масштабного діджитал-перетворення. Нині виділились в окрему компанію, щоби ділитися своїм досвідом та експертизою назовні, залишаючись ІТ-опорою для тих, хто несе світло та сприяє відновленню країни.

Функції посади:

• Проведення експертизи технічних та бізнес-рішень на етапі впровадження та/або експлуатації на відповідність вимогам ІБ.
• Розробка та аудит контролів dev/test/prod оточення в частині compliance вимогам ІБ та best practice.
• Консультування внутрішніх та зовнішніх команд у питаннях організації SSDLC.
• Налаштування, автоматизація та підвищення ефективності та безпеки SAST, DAST, SCA, OSA, Penetration testing, Fuzzing перевірок.
• Верифікація виявлених вразливостей, визначення критичності та заходів щодо зниження ризиків, консультування розробників та DevOps’ів з питань виправленні зауважень

Професійні компетенції:

• Вища профільна освіта;
• Досвід роботи від 3х років;
• Досвід побудови та розвитку інженерних практик DevSecOps, їх реалізація в pipeline як Security Gate;
• досвід розгортання та застосування інструментів безпечної розробки (SAST, DAST, SCA, ASOC, Container/Kubernetes Security);
• досвід розробки архітектури, проектування інформаційних систем, систем безпечної розробки;
• розуміння сценаріїв атак на основі тактик та технік MITRE ATT&CK;
• досвід практичного використання таких стандартів та найкращих практик як OWASP Security Standards, CIS Controls, NIST Cybersecurity Framework, SANS;
• розуміння концепцій Shift-Left, ZeroTrust, SSDLC;
• знання вразливостей з OWASP Top-10 (web/mobile/api), розуміння як вони виникають та як митігуються;
• досвід тріажу вразливостей в таких мовах програмування (хоча б мінімальний): Python, Java, JS, PHP, .NET;
• досвід супроводження проектів з використанням Azure AWS, K8s;
• досвід роботи з інструментами безпеки у хмарних сервісах Azure (Azure Security Center, Azure Defender, Azure Policy), AWS (GuardDuty, CloudTrail), GCP;
• досвід роботи з key vault, hashicorp vault, BYOK;
• знання сучасних структур, методів та технології автентифікації/авторизації (OAuth 2.0, OIDC, JWT);
• досвід роботи з одним або декількома інструментами CI/CD (Azure DevOps, Gitlab, Ansible, Terraform);
• досвід роботи із системами колективної взаємодії, адміністрування проектів та репозиторіїв (AzDO, Git, Confluence, Jira).

Спеціальні навички:

• Знання принципів роботи та функціонування інструментів із забезпечення ІБ (SIEM, DLP, NGFW, WAF, SandBox).
• Знання систем реалізації розмежування доступу (IDM), систем виявлення атак (IDS, IPS) та контролю цілісності інформації (ЕЦП, шифрування).
• Знання технологій віртуалізації і хмарних сервісів (VMware).