Обеспечивать безопасность на всех этапах SDLC по принципу Shift‑Left Security: внедрять защитные механизмы в CI/CD, включая этапы написания кода, работы с IaC, сборки артефактов, DAST и Runtime Security.
Настраивать и поддерживать инструменты статического анализа (Semgrep): блокировать критические уязвимости на этапе Pull Request, адаптировать и поддерживать правила под внутренние стандарты компании, снижать количество ложных срабатываний.
Организовывать контроль безопасности инфраструктуры: внедрять Terrascan для анализа IaC (CIS Benchmarks), проводить аудит Kubernetes (RBAC, Network Policies), разрабатывать безопасные Terraform‑модули и Ansible‑плейбуки.
Интегрировать Trivy в пайплайны: сканировать артефакты (Docker‑образы, Git‑репозитории, VM‑образы) на наличие CVE и секретов, блокировать публикацию при уязвимостях уровней High и Critical.
Администрировать HashiCorp Vault (управление и ротация секретов, интеграция с Kubernetes) и настраивать Falco (или аналог) для обнаружения аномалий в кластерах — включая разработку правил и интеграцию с SIEM.
Проводить обучение разработчиков, участвовать в Threat Modeling, адаптировать политики безопасности под внутренние стандарты.
Опыт работы в роли инженера по безопасности или DevSecOps не менее 3 лет;
Высшее образование;
Уверенное владение Linux и systemd, опыт работы с контейнеризацией (containerd, Docker) и оркестрацией (Kubernetes);
Продвинутый уровень Terraform и Ansible, опыт построения и сопровождения CI/CD‑пайплайнов (GitHub Actions / Gitea), уверенная работа с Git и Nexus;
Глубокое понимание методологии Shift‑Left Security и принципов Threat Modeling;
Практический опыт работы с Semgrep, Trivy, OWASP ZAP, Terrascan, Falco, HashiCorp Vault — включая настройку, кастомизацию правил и интеграцию в процессы;
Системное мышление, внимание к деталям, навыки коммуникации между командами (Dev, Ops, Security).
Будьте осторожны: если работодатель просит войти через Google, iCloud или Госуслуги, прислать код или пароль, запустить ПО или перевести деньги — это мошенники.