Job VC

DevSecOps, Application Security Lead

Unknown · workua · JustMarkets Tech
Open original ↗

Ми шукаємо
DevSecOps & Application Security Lead
, який приєднається до нашої команди та побудує безпеку розробки з нуля. У цій ролі ви очолите напрямок всередині нашого департаменту, фокусуючись на інтеграції безпекових практик у процес розробки програмного забезпечення. Балансуючи між автоматизацією та практичним підходом DevSecOps, ви допомагатимете інженерним командам виявляти та усувати вразливості на ранніх етапах, забезпечуючи надійність і захищеність наших продуктів без уповільнення темпів розробки.
Обов’язки

Побудова функції DevSecOps/AppSec з нуля, а також створення дорожньої карти (roadmap), ключових показників ефективності (KPI) та метрик для керівництва

Створення процесів безпечної розробки, включаючи критерії безпеки для релізів (release security gates) та управління вразливостями

Вибір, налаштування та інтеграція сканерів безпеки (SAST, SCA, пошук секретів) із фокусом на автоматизацію та робочі процеси з використанням штучного інтелекту (AI-assisted workflows)

Інтеграція перевірок безпеки в пайплайни та процеси розробки спільно з командами Engineering, DevOps та Product

Проведення моделювання загроз (threat modeling) та аудитів безпеки для систем із високим рівнем ризику та значних архітектурних змін

Створення чітких стандартів безпеки, чек-листів та практичних інструкцій для розробників (що охоплюють код, API та роботу з секретами)

Запуск та розвиток програми Security Champions для залучення інженерів до процесів безпеки

Допомога в розслідуванні інцидентів, пов’язаних із вразливостями додатків, витоком секретів та атаками на ланцюжки постачань (supply-chain attacks)

Вимоги

5+ років досвіду в DevOps, SRE, Platform Engineering або суміжних інфраструктурних/безпекових ролях

3+ роки досвіду з фокусом на DevSecOps та Application Security

1+ рік досвіду на лідерській позиції (Lead/Ownership)

Глибоке розуміння сучасної розробки ПЗ, робочих процесів Git та практичний досвід інтеграції перевірок безпеки в CI/CD пайплайни без створення «вузьких місць» (bottlenecks)

Практичний досвід роботи з SAST, SCA, скануванням секретів та управлінням вразливостями (auth, supply-chain risks)

Вміння обирати та масштабувати інструменти безпеки на основі їхньої точності, рівня хибнопозитивних спрацьовувань (false-positive) та зручності для розробників (developer experience)

Глибокі знання ризиків веб-додатків, API та мобільних платформ (OWASP Top 10, auth, supply-chain risks), а також вміння проводити моделювання загроз та аудит безпеки архітектури

Хороші навички написання скриптів (Python, Bash або аналоги) та розуміння cloud-native / контейнеризованих середовищ

Вміння писати чіткі вимоги з безпеки та інструкції для розробників

Англійська мова: Intermediate+ або вище

Буде перевагою

Досвід побудови функцій AppSec/DevSecOps з нуля або на ранніх етапах зрілості компанії

Практичний досвід роботи з такими інструментами, як Snyk, Aikido, Semgrep, Trivy, Gitleaks, GitHub/GitLab Security або SonarQube

Досвід роботи з безпекою хмарних рішень / IaC, Kubernetes та безпекою мобільних додатків

Знання стандартів (SOC 2, ISO 27001, PCI DSS, DORA) та досвід координації програм Bug Bounty або пентестів (тестів на проникнення)

Досвід роботи з програмами Security Champions та інструментами безпеки на базі штучного інтелекту

Ми пропонуємо

Віддалений формат роботи

20 днів оплачуваної відпустки на рік

10 днів оплачуваних лікарняних на рік

Офіційні державні свята відповідно до затвердженого календаря компанії.

Бюджет на медичні потреби

Бюджет на професійне навчання

Бюджет на вивчення мов

Wellness-бюджет (абонемент у спортзал, спортивне спорядження та пов’язані з цим витрати)