DevSecOps

Ищем выдающегося DevSecOps для нашей команды!

HamkorLab — Business Unit HamkorBank, одного из крупнейших банков Республики Узбекистан, который разрабатывает и выводит на рынок современные цифровые продукты для миллионов пользователей.

Мы — большая команда профессионалов из разных стран мира, влюбленных в своё дело и объединённых общей целью - создать лучшие онлайн финансовые сервисы для клиентов.

Обязанности:

• Участие в расследовании инцидентов безопасности.
• Содействие в управлении направлением развития и дорожной картой инструментов безопасности, исследование технологий, проведение концептуальных испытаний и тестирование.
• Проведение непрерывного анализа рисков и смягчение рисков инфраструктуры.
• Участие в процессе обнаружения уязвимостей (сканирование, анализ обнаруженных уязвимостей).
• Исследование и разработка новых инструментов мониторинга безопасности.
• Оценка уровня безопасности развертываний. Рекомендация и внедрение мер по смягчению.
• Поддержка внутренней документации и работа с требованиями регуляторов (стандарты, руководства, описания и т. д.).
• Поддержка DevOps путем настройки автоматизированных конвейеров сборки и развертывания.
• Внедрение и автоматизация безопасности кластера Kubernetes (прод/тест/разработка).
• Внедрение и автоматизация безопасности с помощью конвейеров CI/CD (SAST, DAST, OSA/SCA).
• Укрепление безопасности и улучшение безопасности в инфраструктуре и K8s.
• Внедрение автоматизированных мер безопасности ИТ (ротация секретов, анализ журналов аудита безопасности и т. д.).
• Участие в проектной деятельности команды по безопасности.
• Создание лучших практик для инструментов DevSecOps в терминах их внедрения во всех функциях ИТ, настройка и поддержка ключевых показателей эффективности в области безопасности в терминах DevSecOps.
• Разработка совместно с другими командами оповещений, правил и решений автоматизации мониторинга.
• Поставка решений DevSecOps.
• Поддержка установки и разработка контента (панели инструментов, оповещения и т. д.) для инструментов DevSecOps.

• Опыт работы не менее трех лет.
• Понимание уязвимостей OWASP Top-10 и способов их эксплуатации
• Солидные технические знания в области информационной безопасности.
• Экспертное владение процессами операций ИТ-безопасности и их адаптация к предметной области.
• Глубокие знания Kubernetes и Helm, а также практический опыт их использования.
• Опыт работы с SonarQube, AquaSecurity, Sonatype, Jfrog, Qualys.
• Опыт работы с системами WAF
• Практический опыт работы в обеспечении безопасности контейнерной инфраструктуры и систем оркестрации (hardening k8s, runtime security, network policy, rbac, secret management, container security)
• Опыт работы с Ansible
• Знание современных методов эксплуатации уязвимостей приложений.
• Знание ИТИЛ (процесс контроля изменений, управление изменениями, управление проблемами/инцидентами, процедуры, руководства и т. д.).
• Практические знания принципов информационной безопасности для бизнес-приложений - преимущество.
• Опыт и навыки в Unix.
• Знание статических и динамических инструментов сканирования безопасности.
• Глубокие знания в CI/CD.
• Экспертное владение идентификацией и оценкой индикаторов компрометации (IOC), связанных с вредоносным кодом и вредоносными программами.
• Опыт работы с аудитами безопасности.
• Стремление решать сложные задачи и быстро итерироваться.
• Способность успешно работать в стрессовых ситуациях.
• Способность работать с несколькими задачами одновременно.
• Командный игрок с энергией и желанием развиваться в быстром и требовательном прогрессивном окружении.

Что мы в свою очередь предлагаем:

— Профессиональная команда, где каждый сотрудник - неотъемлемая часть успеха;

— Работа с перспективными продуктами для миллионов пользователей;

— Использование современных технологий и подходов к процессу разработки;

— Индивидуальный подход к формату работы;