Цель команды

Цель команды Безопасной разработки информационных систем (DevSecOps Team) заключается в обеспечении бизнес-ориентированной (security by design) интеграции безопасности в процессы разработки и эксплуатации IT-продуктов. Мы стремимся к созданию надежной и безопасной инфраструктуры разработки, способной эффективно защищать приложения и данные от угроз.

В мае 2024 года мы анонсировали разработку нового облака на True Tech Day 2.0 (плейлист). В докладе руководителя ИБ можно узнать ключевые моменты и узнать как делать безопасные решения:

https://www.youtube.com/watch?v=Y08gF7KmQTU&list=PL8pIeULWZdYHydW7LbMgruepFZz4-21Ec&index=8

Основные направления

1. Инструментальная безопасность, с обратной связью по устранению уязвимостей, обнаруженных в результате исследований:
   • SAST (Static Application Security Testing)
   • OSA (Open Source Analysis)
   • SCA (Software Composition Analysis)
   • DAST (Dynamic Application Security Testing)
   • Pentest
   • Red Team
2. Безопасное предметно-ориентированное проектирование (DDD), включая требования к ограниченным контекстам, доменным примитивам и архитектуре ПО.
3. Безопасность инфраструктуры разработки, развертывания и эксплуатации:
   • Мониторинг угроз
   • Внедрение матрицы ролей
   • Микросегментация
   • Защита пайплайна
   • Защита цепочек поставки
   • Защита кубера
   • Внедрение RASP (Runtime Application Self-Protection)
   • Кастомизация WAF (Web Application Firewall)

Команда

Наша команда обладает глубокими знаниями и опытом в области безопасной разработки, решает задачи в кооперации с командами разработки, инфраструктуры и информационной безопасности.

Примеры задач

• Настройка CI/CD пайплайна с учетом безопасности
• Триаж результатов SAST на предмет подтверждения уязвимостей/фолзов и рекомендации по исправлению подтвержденных уязвимостей
• Создание сценариев тестирования для обнаружения уязвимостей в веб-приложениях и API

Ожидания от кандидата по хардам

• Знание уязвимостей из OWASP Top-10
• Опыт внедрения инструментов безопасной разработки в пайплайн (SAST, SCA, DAST и др.)
• Опыт построения и развития DevSecOps практик
• Опыт разработки архитектур и проектирования информационных систем
• Опыт работы с Docker, Kubernetes, OpenShift