DevSecOps, Application Security Lead

Ми шукаємо DevSecOps & Application Security Lead, який приєднається до нашої команди та побудує безпеку розробки з нуля. У цій ролі ви очолите напрямок всередині нашого департаменту, фокусуючись на інтеграції безпекових практик у процес розробки програмного забезпечення. Балансуючи між автоматизацією та практичним підходом DevSecOps, ви допомагатимете інженерним командам виявляти та усувати вразливості на ранніх етапах, забезпечуючи надійність і захищеність наших продуктів без уповільнення темпів розробки.

Обов’язки

• Побудова функції DevSecOps/AppSec з нуля, а також створення дорожньої карти (roadmap), ключових показників ефективності (KPI) та метрик для керівництва
• Створення процесів безпечної розробки, включаючи критерії безпеки для релізів (release security gates) та управління вразливостями
• Вибір, налаштування та інтеграція сканерів безпеки (SAST, SCA, пошук секретів) із фокусом на автоматизацію та робочі процеси з використанням штучного інтелекту (AI-assisted workflows)
• Інтеграція перевірок безпеки в пайплайни та процеси розробки спільно з командами Engineering, DevOps та Product
• Проведення моделювання загроз (threat modeling) та аудитів безпеки для систем із високим рівнем ризику та значних архітектурних змін
• Створення чітких стандартів безпеки, чек-листів та практичних інструкцій для розробників (що охоплюють код, API та роботу з секретами)
• Запуск та розвиток програми Security Champions для залучення інженерів до процесів безпеки
• Допомога в розслідуванні інцидентів, пов’язаних із вразливостями додатків, витоком секретів та атаками на ланцюжки постачань (supply-chain attacks)

Вимоги

• 5+ років досвіду в DevOps, SRE, Platform Engineering або суміжних інфраструктурних/безпекових ролях
• 3+ роки досвіду з фокусом на DevSecOps та Application Security
• 1+ рік досвіду на лідерській позиції (Lead/Ownership)
• Глибоке розуміння сучасної розробки ПЗ, робочих процесів Git та практичний досвід інтеграції перевірок безпеки в CI/CD пайплайни без створення «вузьких місць» (bottlenecks)
• Практичний досвід роботи з SAST, SCA, скануванням секретів та управлінням вразливостями (auth, supply-chain risks)
• Вміння обирати та масштабувати інструменти безпеки на основі їхньої точності, рівня хибнопозитивних спрацьовувань (false-positive) та зручності для розробників (developer experience)
• Глибокі знання ризиків веб-додатків, API та мобільних платформ (OWASP Top 10, auth, supply-chain risks), а також вміння проводити моделювання загроз та аудит безпеки архітектури
• Хороші навички написання скриптів (Python, Bash або аналоги) та розуміння cloud-native / контейнеризованих середовищ
• Вміння писати чіткі вимоги з безпеки та інструкції для розробників
• Англійська мова: Intermediate+ або вище

Буде перевагою

• Досвід побудови функцій AppSec/DevSecOps з нуля або на ранніх етапах зрілості компанії
• Практичний досвід роботи з такими інструментами, як Snyk, Aikido, Semgrep, Trivy, Gitleaks, GitHub/GitLab Security або SonarQube
• Досвід роботи з безпекою хмарних рішень / IaC, Kubernetes та безпекою мобільних додатків
• Знання стандартів (SOC 2, ISO 27001, PCI DSS, DORA) та досвід координації програм Bug Bounty або пентестів (тестів на проникнення)
• Досвід роботи з програмами Security Champions та інструментами безпеки на базі штучного інтелекту

Ми пропонуємо

• Віддалений формат роботи
• 20 днів оплачуваної відпустки на рік
• 10 днів оплачуваних лікарняних на рік
• Офіційні державні свята відповідно до затвердженого календаря компанії.
• Бюджет на медичні потреби
• Бюджет на професійне навчання
• Бюджет на вивчення мов
• Wellness-бюджет (абонемент у спортзал, спортивне спорядження та пов’язані з цим витрати)