Инженер DevSecOps в Yandex Cloud Security

Yandex Cloud — это публичная облачная платформа, которая объединяет более 60 сервисов для бизнеса и разработчиков. Наша экосистема включает масштабируемую инфраструктуру, мощные инструменты для хранения, обработки и анализа данных, сервисы машинного обучения и разработки. Yandex Cloud помогает компаниям создавать инновационные решения любой сложности и обеспечивает надёжность, удобство и безопасность.

Наши DevSecOps-инженеры гарантируют мировой уровень безопасности для всей платформы Yandex Cloud. Мы интегрируем лучшие практики защиты на каждом этапе жизненного цикла продуктов — от написания кода до его эксплуатации в продакшене. Наша задача — автоматизация процессов, управление угрозами и создание таких решений, которые помогают более чем 100 крупнейшим компаниям России (по рейтингу РБК-500) уверенно использовать облачные технологии.

Если вы хотите объединить свои знания в DevOps, разработке и информационной безопасности, влиять на развитие технологий и готовы решать сложные инженерные задачи, мы будем рады видеть вас в нашей команде.

Подробнее о подразделении: https://yandex.ru/jobs/pages/yc-security.

Исследование и внедрение передовых инструментов для безопасной разработки (SSDLC)

Вы будете заниматься интеграцией современных решений, таких как инструменты статического анализа кода (SAST), анализа зависимостей (SCA), динамического тестирования (DAST), фаззинга и других. Важно не только внедрять существующие инструменты state-of-the-art, но и исследовать актуальные разработки с открытым исходным кодом для замены устаревших решений.

Внедрение процессов и инструментальной поддержки SSDLC в новые сервисы Yandex Cloud

Yandex Cloud активно развивается, и новые сервисы требуют применения наших стандартов безопасности. Вам предстоит интегрировать инструменты и процессы SSDLC в эти сервисы, а также обучать команды разработчиков принципам безопасной разработки.

Поддержка стабильности и повышение эффективности процесса SSDLC

Вашей задачей станет поддержание стабильности CI/CD-пайплайнов SSDLC. Вы будете разрабатывать собственные решения для обеспечения безопасной разработки, контролировать соблюдение принципов SSDLC всеми сервисами, развивать мониторинг эффективности процессов, автоматизировать политики безопасности и добавлять проверки на этапах пул-реквеста.

Сопровождение сертификаций и аудитов

Вы будете участвовать в формировании артефактов процесса SSDLC для регуляторов и аудиторов, а также автоматизировать рутинные задачи. Вам предстоит консультировать сервисы по реализации требований.

* Писали на Python, Go, Java или C++: наша команда разрабатывает тулинг на Python
* Работали с *nix-системами, системами контейнеризации
* Свободно ориентируетесь в процессах безопасного цикла разработки приложений (SSDLC) и умеете анализировать безопасность программного кода
* Умеете строить процессы информационной безопасности, подкреплять их нужными инструментами и автоматизацией
* Знакомы с DevSecOps-практиками, активно применяли инструментарий для SAST, SCA, DAST, фаззинга, выстраивания пайплайнов CI/CD, анализа инфраструктуры на уязвимости

* Уверенно ориентируетесь в TeamCity и разрабатывали на Kotlin DSL
* Работали с опенсорс статическими анализаторами
* Внедряли фаззинг-тестирование с использованием AFL++, LibFuzzer, Syzkaller, Jazzer, gofuzz
* Проводили исследования или публиковали статьи в области ИБ
* Занимались аудитом архитектуры программного обеспечения с точки зрения информационной безопасности
* Активный участник профессиональных сообществ
* Имеете международные сертификаты в области ИБ
* Интересуетесь современными публичными облаками и их безопасностью
* Имеете опыт ФСТЭК-сертификации