Цель команды
Цель команды Безопасной разработки информационных систем (DevSecOps Team) заключается в обеспечении бизнес-ориентированной (security by design) интеграции безопасности в процессы разработки и эксплуатации IT-продуктов. Мы стремимся к созданию надежной и безопасной инфраструктуры разработки, способной эффективно защищать приложения и данные от угроз.
Основные направления
- Инструментальная безопасность, с обратной связью по устранению уязвимостей, обнаруженных в результате исследований:
- SAST (Static Application Security Testing)
- OSA (Open Source Analysis)
- SCA (Software Composition Analysis)
- DAST (Dynamic Application Security Testing)
- Pentest
- Red Team
- Безопасное предметно-ориентированное проектирование (DDD), включая требования к ограниченным контекстам, доменным примитивам и архитектуре ПО.
- Безопасность инфраструктуры разработки, развертывания и эксплуатации:
- Мониторинг угроз
- Внедрение матрицы ролей
- Микросегментация
- Защита пайплайна
- Защита цепочек поставки
- Защита кубера
- Внедрение RASP (Runtime Application Self-Protection)
- Кастомизация WAF (Web Application Firewall)
Команда
Наша команда обладает глубокими знаниями и опытом в области безопасной разработки, решает задачи в кооперации с командами разработки, инфраструктуры и информационной безопасности.
Примеры задач
- Настройка CI/CD пайплайна с учетом безопасности
- Триаж результатов SAST на предмет подтверждения уязвимостей/фолзов и рекомендации по исправлению подтвержденных уязвимостей
- Создание сценариев тестирования для обнаружения уязвимостей в веб-приложениях и API
Ожидания от кандидата по хардам
- Знание уязвимостей из OWASP Top-10
- Опыт внедрения инструментов безопасной разработки в пайплайн (SAST, SCA, DAST и др.)
- Опыт построения и развития DevSecOps практик
- Опыт разработки архитектур и проектирования информационных систем
- Опыт работы с Docker, Kubernetes, OpenShift
- Опыт работы с инструментами CI/CD (Gitlab, Teamcity, Jenkins, Ansible)
- Опыт работы с системами коллективного взаимодействия и администрирования проектов (Git, Confluence, Jira, Artifactory, Harbor, Nexus)