DevOps/DevSecOps engineer

Построение и внедрение процессов безопасной разработки; - Анализ защищенности CI/CD; - Оптимизация и администрирование сервисов DevSecOps; - Работа с уязвимостями; - Консультация команд по вопросам безопасности.

Разработка и улучшение пайплайнов сборки ПО на базе ОС FreeBSD; - Конфигурирование и администрирование билд-систем; - Выстраивание SSDL в продуктовых командах Стек: - CI/CD: Jenkins; - Virtualization: Proxmox; - Containerization & Orchestration: Docker, Kubernetes; - SCA: DependencyTrack, cdxgen; - SAST: Solar AppScreener, SonarQube; - Secret management: HashiCorp Vault, Passbolt; - OS: Linux, FreeBSD

Онбординг проектов и команд в контур DevSecOps, настройка интеграций между инструментами; сопровождение и модификация процессов/workflow сканирований; - Администрирование и эксплуатация стека инструментов на базе отдела; - Определение стратегии использования и развития практик инструментального анализа в рамках процессов безопасной разработки; - Обучение команд использованию инструментов; - Разработка требований ИБ для инфраструктуры среды разработки и среды тестирования Достижения: - С нуля создана кастомная сборка и упакован в контейнеры менеджер паролей Passbolt, который был успешно развернут и введён в эксплуатацию на уровне всей организации; - Инфраструктура отдела полностью описана и переведена на принципы Infrastructure as Code (IaaC), обеспечивая автоматизацию и управляемость; - Инициировал необходимость разработки стандарта внутри компании для обеспечения безопасности контейнерной инфраструктуры и принимал активное участие в его создании Стек: - Architecture analysis/Threat Modeling: OWASP Threat Dragon - SCA: DependencyTrack, Dependency Check, cdxgen; - SAST: Solar AppScreener, SonarQube, Semgrep, CodeQL; - Container security: Trivy, Grype, Dockle, Hadolint; - DAST: OWASP ZAP, nuclei; - MAST: Стингрей; - Vulnerability orchestration (ASOC): DefectDojo, AppSec.Hub; - Secret management: HashiCorp Vault, Passbolt; - Other: Checkov, TerraScan, gixy - CI/CD: Jenkins, Gitlab CI; - Repository/registry: Nexus Repository Manager, Gitlab Container Registry; - Virtualization: VirtualBox, vSphere; - Containerization & Orchestration: Docker, docker-compose, Kubernetes - IaaC: Ansible; - OS: Linux

Анализ предлагаемых решений по изменению технологических процессов; - Консультация команд в части выполнения требований по обеспечению кибербезопасности; - Проведение примено-сдаточных испытаний; - Составление программ и методик испытаний; - Выявление ошибок и недостатков реализации требований по обеспечению кибербезопансоти; - Проведение автоматизированных проверок требований безопасности контейнерных сред и консультация команд по устранению замечаний со стороны безопасности; - Архитектурный контроль; - Согласование и проверка функциональных и нефункциональных требований; - Анализ на соответствие требованиям ИБ инфраструктуры среды разработки и среды тестирования Достижения: - Инициировал и организовал регулярные занятия по обучению наступательным методам кибербезопасности, проводимые на базе отдела Стек: - Architecture analysis/Threat Modeling: BPMN, Sequence diagram; - SCA: DependencyTrack, Dependency Check, cdxgen; - Container security: Trivy, Grype, Dockle, Hadolint; - Containerization & Orchestration: Docker, docker-compose, OpenShift; - SAST: Checkmarx

Сбор, анализ и обработка цифровых улик (анализ дампов оперативной памяти, анализ образов ОС); - Расследование "синтетических" инцидентов, связанных с утечкой данных и действием вредоносного ПО; - Разработка отчетов и презентаций по результатам расследований Стек: - Инструменты для анализа данных: Wireshark, Paladin, Autopsy, Volatility 3; - OS: Windows, Linux