DevSecOps инженер в Yandex Cloud

27 Ноября

Партнерские Вакансии

Компания "Яндекс"

Yandex Cloud — это публичная облачная платформа, которая объединяет более 60 сервисов для бизнеса и разработчиков. Наша экосистема включает масштабируемую инфраструктуру, мощные инструменты для хранения, обработки и анализа данных, сервисы машинного обучения и разработки. Yandex Cloud помогает компаниям создавать инновационные решения любой сложности, обеспечивая надёжность, удобство и безопасность.

Наши DevSecOps-инженеры обеспечивают мировой уровень безопасности для всей платформы Yandex Cloud. Мы интегрируем лучшие практики защиты на каждом этапе жизненного цикла продуктов — от написания кода до его эксплуатации в продакшене. Наша задача — автоматизация процессов, управление угрозами и создание таких решений, которые помогают более чем 100 крупнейшим компаниям России (по рейтингу РБК-500) уверенно использовать облачные технологии.

Если вы хотите объединить свои знания в DevOps, разработке и информационной безопасности, готовы решать сложные инженерные задачи и влиять на развитие безопасных технологий, мы будем рады видеть вас в нашей команде!

Какие задачи вас ждут

• Исследование и внедрение передовых инструментов для безопасной разработки (SSDLC)

Вы будете заниматься интеграцией современных решений, таких как инструменты статического анализа кода (SAST), анализа зависимостей (SCA), динамического тестирования (DAST), фаззинга и других. Важно не только внедрять существующие state-of-the-art-инструменты, но и исследовать актуальные разработки с открытым исходным кодом для замены устаревших решений.

• Внедрение процессов и инструментальной поддержки SSDLC в новые сервисы Yandex Cloud

Yandex Cloud активно развивается, и новые сервисы требуют применения наших стандартов безопасности. Вам предстоит интегрировать инструменты и процессы SSDLC в эти сервисы, а также обучать команды разработчиков принципам безопасной разработки.

• Улучшать и поддерживать стабильность инфраструктуры и процессов SSDLC

Вашей задачей будет поддержание стабильности SSDLC: CI/CD пайплайнов и инфраструктуры (Cloud VM, Kubernetes). Вы будете разрабатывать собственные решения для поддержки безопасной разработки, контролировать соблюдение принципов SSDLC всеми сервисами, развивать мониторинг состояния инфраструктуры и процессов, автоматизировать политики безопасности и добавлять проверки на этапах Pull Request.

• Улучшение сервиса для фаззинга и внедрение его в сервисы

Вы будете развивать нашу собственную платформу для фаззинга, оптимизировать её функциональность и привлекать новые сервисы к её использованию.

Мы ждем, что вы

• Свободно ориентируетесь в процессах безопасного цикла разработки приложений (SSDLC) и умеете анализировать безопасность программного кода
• Имеете опыт разработки на Go, Python, Java или C++
• Работали с *nix-системами, системами контейнеризации
• Умеете строить процессы информационной безопасности, подкреплять их нужными инструментами и автоматизацией
• Знакомы с DevSecOps-практиками, имеете обширный опыт применения инструментария для SAST, SCA, DAST, фаззинга, выстраивания пайплайнов CI/CD, анализа инфраструктуры на уязвимости

Будет плюсом, если вы:

• Уверенно ориентируетесь в TeamCity и разрабатывали на Kotlin DSL
• Знакомы с Kubernetes и понимаете принципы его работы
• Умеете описывать инфраструктуру в Terraform
• Имеете практический опыт работы с решениями Synopsys, Checkmarx, SonarQube и российских вендоров (Svace);
• Внедряли фаззинг-тестирование с использованием AFL++, LibFuzzer, Syzkaller, Jazzer, gofuzz
• Активный участник профессиональных сообществ
• Проводили исследования или публиковали статьи в области ИБ
• Имеете международные сертификаты в области ИБ
• Проводили аудит архитектуры программного обеспечения с точки зрения информационной безопасности
• Интересуетесь современными публичными облаками и их безопасностью