Job VC
DevSecOps Engineer
Technologies
Description
Наша команда займається розробкою високотехнологічних рішень для ураження ворожих цілей. Ми створюємо повноцінні продукти - від ідеї до серійного виробництва.
Зараз шукаємо
DevSecOps,
який буде відповідати за безпеку продукту: перевіряти рішення та допомагати впроваджувати безпечні підходи в розробці. Позиція на стику engineering, AI та compliance - з реальним впливом на те, що потрапляє в продакшн.
Необхідні навички та досвід:
Практичний досвід забезпечення веб-безпеки на рівні архітектури та імплементації: глибоке розуміння та застосування OWASP Top 10, робота з security headers, WAF та побудова підходів до захисту API. Досвід використання SAST/DAST інструментів у реальних проєктах, розуміння DevSecOps pipeline з інтеграцією безпеки в CI/CD та впровадженням security gates.
Розуміння актуальних векторів атак на LLM та AI-системи (prompt injection, jailbreak, data leakage, model inversion) на практичному рівні; досвід або впевнене знання OWASP LLM Top 10.
Практичний досвід роботи в рамках ISO/IEC 27001:2022 (участь у впровадженні, підтримці або аудитах), здатність самостійно розробляти security policies та процедури.
Здатність транслювати складні security-вимоги у зрозумілу форму для бізнесу та нетехнічних команд. Досвід роботи на стику різних департаментів із різними пріоритетами та вміння знаходити баланс між безпекою і бізнес-потребами.
Високий рівень самостійності у дослідженні нових технологічних ризиків, проактивний підхід із фокусом на рішення (не лише виявлення проблем, а й їх практичне закриття), досвід участі в аудитах та надання обґрунтованих рекомендацій, які можна впровадити.
Майбутні обов'язки:
Оцінка безпеки нових впроваджень і розробок на всіх рівнях: мережевому (порти, правила доступу), інфраструктурному (захист БД, авторизація на серверах), прикладному (security headers, захист від prompt injection, SQL injection). Видача офіційного апруву перед запуском функціоналу або нового інструменту.
Дослідження специфічних ризиків роботи з AI-системами. Трансляція результатів у корпоративні процеси та фреймворки на базі ISO 27001:2022.
Участь в організації впровадження стандарту 27001:2022 в компанії.
Участь у загальних задачах ІБ в рамках власних компетенцій DevSecOps.
Аудит мережевих периметрів, NGFW rules, сегментація мережі. Перевірка конфігурацій серверів, контейнерів (Docker), хмарних сервісів (AWS/Google/Azure). Знання принципів least privilege.
Зараз шукаємо
DevSecOps,
який буде відповідати за безпеку продукту: перевіряти рішення та допомагати впроваджувати безпечні підходи в розробці. Позиція на стику engineering, AI та compliance - з реальним впливом на те, що потрапляє в продакшн.
Необхідні навички та досвід:
Практичний досвід забезпечення веб-безпеки на рівні архітектури та імплементації: глибоке розуміння та застосування OWASP Top 10, робота з security headers, WAF та побудова підходів до захисту API. Досвід використання SAST/DAST інструментів у реальних проєктах, розуміння DevSecOps pipeline з інтеграцією безпеки в CI/CD та впровадженням security gates.
Розуміння актуальних векторів атак на LLM та AI-системи (prompt injection, jailbreak, data leakage, model inversion) на практичному рівні; досвід або впевнене знання OWASP LLM Top 10.
Практичний досвід роботи в рамках ISO/IEC 27001:2022 (участь у впровадженні, підтримці або аудитах), здатність самостійно розробляти security policies та процедури.
Здатність транслювати складні security-вимоги у зрозумілу форму для бізнесу та нетехнічних команд. Досвід роботи на стику різних департаментів із різними пріоритетами та вміння знаходити баланс між безпекою і бізнес-потребами.
Високий рівень самостійності у дослідженні нових технологічних ризиків, проактивний підхід із фокусом на рішення (не лише виявлення проблем, а й їх практичне закриття), досвід участі в аудитах та надання обґрунтованих рекомендацій, які можна впровадити.
Майбутні обов'язки:
Оцінка безпеки нових впроваджень і розробок на всіх рівнях: мережевому (порти, правила доступу), інфраструктурному (захист БД, авторизація на серверах), прикладному (security headers, захист від prompt injection, SQL injection). Видача офіційного апруву перед запуском функціоналу або нового інструменту.
Дослідження специфічних ризиків роботи з AI-системами. Трансляція результатів у корпоративні процеси та фреймворки на базі ISO 27001:2022.
Участь в організації впровадження стандарту 27001:2022 в компанії.
Участь у загальних задачах ІБ в рамках власних компетенцій DevSecOps.
Аудит мережевих периметрів, NGFW rules, сегментація мережі. Перевірка конфігурацій серверів, контейнерів (Docker), хмарних сервісів (AWS/Google/Azure). Знання принципів least privilege.