Компания "iiko, Компания Aйко"
iiko — российская компания-разработчик ПО для автоматизации ресторанов. Более 52 000 заведений в РФ и ЕАЭС, в том числе более половины всех ресторанов России используют iiko.
Мы стремимся создать лучшее в мире решение для управления ресторанным бизнесом.
Расширяем команду ИБ и приглашаем в штат инженера DevSecOps для работы с блоком разработки программного обеспечения.
Преимущества нашей вакансии:
- У вас будет возможность участвовать в создании крутого продукта, который уже используют миллионы пользователей и который при этом продолжает активно развиваться
- Будут разнообразные задачи, возможности для непрерывного профессионального роста
- Будет возможность карьерного роста и выстраивания своей команды
- А еще будет свобода и скорость принятия решений, а так же минимум бюрократии
Ваши задачи:
- Сопровождение ЖЦ разработки продуктов компании по вопросам ИБ:
- Участие в разработке архитектуры и создании платформы разработки безопасного ПО;
- Участие в моделировании угроз;
- Участие в формировании требований ИБ к продукту;
- Участие в приемо-сдаточных испытаниях.
- Настройка, автоматизация и повышение эффективности и безопасности SAST, DAST, SCA, OSA, CS, Penetration testing, Fuzzing проверок.
- Формирование аудит-отчетов, контроль и помощь разработчикам в устранении замечаний.
- Верификация обнаруженных уязвимостей, определение критичности и мер по снижению рисков.
- Формирование компетенций в области ИБ у команд разработки.
- Консультирование внутренних и внешних команд разработки в вопросах организации SSDLC.
- Помощь в разработке безопасного кода и внедрении практик безопасной разработки;
Ожидания от кандидата:
- Высшее образование в области информационных технологий или информационной безопасности.
- Знание уязвимостей из OWASP Top-10, понимание как они возникают и как митигируются.
- Опыт разворачивания и применения инструментов безопасной разработки (SAST, DAST, SCA, OSA, ASOC, Container/Kubernetes Security);
- Опыт построения и развития инженерных практик DevSecOps, их реализация в pipeline в качестве Security Gate;
- Опыт работы с Docker, k8s;
- Опыт работы с одним или несколькими инструментами CI/CD (Gitlab - желательно/Teamcity/Jenkins/Ansible);
- Опыт работы с системами коллективного взаимодействия, администрирования проектов и репозиториев (Git, Confluence, Jira, artifactory/harbor/nexus);
- Понимание концепций Shift-Left, Zero-Trust, SSDLC;
- Знание о современных структурах, методах и технологиях аутентификации/авторизации;
- Опыт работы с hashicorp vault.
- Понимание принципов построения процесса DevSecOps в компании-разработчике ПО от двух лет.
- Понимание принципов работы современных веб-приложений, микросервисной архитектуры, контейниризированных приложений, процессов CI/CD.
- Опыт триажа уязвимостей по следующим языкам программирования (хотя бы минимальный): .Net, PHP, Java;
- Опыт создания и внедрения политик/правил для инструментов безопасной разработки.
Будет преимуществом:
- Опыт расследования инцидентов;
- Опыт разработки архитектур, проектирования информационных систем, систем безопасной разработки, а так же опыт управления небольшой командой ИБ;
- Знание стандартов, фреймворков и лучших мировых практик по разработке защищенного программного обеспечения (BSIMM, SAMM, ASVS и т.д.);
- Знание английского на уровне чтения технической документации;
- Знание и практическое применение современных средств, систем и методик защиты информации веб-приложений.
- Знание методологии управления проектами и опыт разработки технических требований, архитектуры решений, структуры и объема работ, графиков проекта.
Мы предлагаем вам:
- Работу в современной демократичной IT компании. Наличие IT аккредитации.
- Сотрудничество по TК РФ с первого дня по бессрочному трудовому договору. Возможна удаленная работа по мск часовому поясу.
- ЗП в рынке, учтем ваши пожелания.
- Гибкое начало рабочего дня до 11.00.
- Оплата спортклуба, онлайн школы английского, медицинской страховки.