DevSecOps инженер

Подробнее

Мы делаем фандрайзинговую платформу Fundraise Up. Цель в том, чтобы быть самым удобным и самым быстрым способом сделать донат в пользу некоммерческого фонда. Мы изобретаем способы ускорить загрузку, увеличить конверсию, принять оплату разными способами и т.д. Каждый месяц люди со всего мира донатят десятки миллионов долларов через наши формы.

Крупнейшие некоммерческие организации мира используют наше решение чтобы собирать деньги. UNICEF (самый известный международный фонд ООН) делает весь онлайн-фандрайзинг на нашей платформе. Аналогично поступают Барак Обама, Ассоциация изучения Альцгеймера и многие другие. Наш рейтинг на самой популярной платформе для отзывов — 4.9 из 5.

Мы работаем в энтерпрайз-сегменте. Наши клиенты находятся по всему миру, но основная концентрация приходится на США, Канаду, Великобританию и Австралию.

Продукт

Мы живем на 130+ железных серверов (арендуем у разных провайдеров и потихоньку растем) в нескольких дата центрах и все это связано mesh-сетью. Из облачного — S3, SES, Lambda, переезжать полностью в AWS/GCP не планируем.

Снаружи все накрыто Cloudflare, используем много его сервисов. Внутри настроен Jenkins и пайплайн сборки, который деплоит NodeJS приложения в докере. Сейчас прикручиваем Kubernetes к нашей bare-metal инфраструктуре.

Данные хранятся в MongoDB и Clickhouse. Коммуникация между сервисами через Bull (redis) и Kafka. Много всего хостим сами — Sentry, Posthog, Cal.com, Tableau, Jupyter, Airflow.

Вот важные ключевики списком: HaProxy, NodeJS, Docker, Kubernetes, Percona MongoDB, Clickhouse, Kafka, Redis, Cloudflare, Ansible, Jenkins, VictoriaMetrics, Graylog, Grafana, Wireguard mesh network, Sentry.

Команда

В команде продуктовой разработки 60 человек. 35 из них ежедневно работают с кодом.

Они находятся в Грузии, Армении, Азербайджане, Турции, Сербии, Казахстане и Португалии. Язык общения — русский. У некоторых разработчиков за плечами 10-20 лет опыта, но, в основном, 5-8 лет. Медианный возраст в команде 28 лет.

Продуктовая команда маленькая и в этом кайф — у нас нет «незначительных» задач. Все что мы делаем — важно. Команда сильная и в этом отдельный кайф — всегда интересно быть в окружении крутых людей, которые делятся опытом. Коллеги всегда помогут найти хорошее решение. Приветствуется задавать вопросы и делиться знаниями. Дважды в месяц мы проводим инженерные митинги, рассказывая про интересные топики из разработки.

Мы ищем опытного DevSecOps Engineer с 4+ годами в индустрии. Нам важен разносторонний опыт: Linux, CI/CD, Monitoring, Databases. Мы не настолько большие, чтобы сделать отдельные команды мониторинга, DBA и другие, поэтому стараемся шарить знания и задачи в разных областях.

• Чем предстоит заниматься:

  • Интеграция практик и инструментов безопасности (SAST, DAST, SCA, IAST, etc…). Поддержка существующих решений.
  • Автоматизация процессов сканирования безопасности, управления уязвимостями и конфигурациями.
  • Patch & vulnerability management.
  • Обеспечение безопасности инфраструктуры (hardening серверов, docker images, сети).
  • Управление секретами и конфигурациями безопасности (HashiCorp Vault, etc.).
  • Настройка и управление системами мониторинга безопасности, логирования и анализа событий (у нас пока Wazuh).
  • Проведение аудитов безопасности, оценка рисков и разработка рекомендаций по их устранению. Участие в прохождении внешних аудитов (SOC2, ISO 27001)
  • Консультирование команд разработки и эксплуатации по вопросам безопасной разработки (Secure SDLC) и best practices.
  • Участие в расследовании инцидентов безопасности.

  Наши ожидания от кандидата:

  • Опыт работы в роли DevSecOps, Security Engineer или DevOps с фокусом на безопасность от 4 лет.
  • Глубокое понимание принципов DevSecOps и Secure SDLC.
  • Практический опыт работы с CI/CD системами (GitLab CI, Jenkins или аналоги).
  • Опыт внедрения и использования инструментов SAST/DAST/SCA (SonarQube, Checkmarx, Snyk, OWASP ZAP и т.д.).
  • Опыт работы с системами контейнеризации (Docker) и оркестрации (Kubernetes), понимание их аспектов безопасности.
  • Опыт работы с bare-metal и VM.
  • Опыт работы с инструментами Infrastructure as Code (Ansible).
  • Знание скриптовых языков (Python, Bash).
  • Понимание сетевых протоколов и принципов сетевой безопасности (Firewalls, WAF, VPN, IDS/IPS).
  • Опыт работы с системами управления логами и мониторинга.
  • Знание основных векторов атак (OWASP Top 10) и методов защиты.
  • Опыт администрирования Linux/Windows систем.
  • Разговорный английский.

Будет плюсом:

• Интеграция практик и инструментов безопасности (SAST, DAST, SCA, IAST, etc…). Поддержка существующих решений.
• Автоматизация процессов сканирования безопасности, управления уязвимостями и конфигурациями.
• Patch & vulnerability management.
• Обеспечение безопасности инфраструктуры (hardening серверов, docker images, сети).
• Управление секретами и конфигурациями безопасности (HashiCorp Vault, etc.).
• Настройка и управление системами мониторинга безопасности, логирования и анализа событий (у нас пока Wazuh).
• Проведение аудитов безопасности, оценка рисков и разработка рекомендаций по их устранению. Участие в прохождении внешних аудитов (SOC2, ISO 27001)
• Консультирование команд разработки и эксплуатации по вопросам безопасной разработки (Secure SDLC) и best practices.
• Участие в расследовании инцидентов безопасности.
• Опыт работы в роли DevSecOps, Security Engineer или DevOps с фокусом на безопасность от 4 лет.
• Глубокое понимание принципов DevSecOps и Secure SDLC.
• Практический опыт работы с CI/CD системами (GitLab CI, Jenkins или аналоги).
• Опыт внедрения и использования инструментов SAST/DAST/SCA (SonarQube, Checkmarx, Snyk, OWASP ZAP и т.д.).
• Опыт работы с системами контейнеризации (Docker) и оркестрации (Kubernetes), понимание их аспектов безопасности.
• Опыт работы с bare-metal и VM.
• Опыт работы с инструментами Infrastructure as Code (Ansible).
• Знание скриптовых языков (Python, Bash).
• Понимание сетевых протоколов и принципов сетевой безопасности (Firewalls, WAF, VPN, IDS/IPS).
• Опыт работы с системами управления логами и мониторинга.
• Знание основных векторов атак (OWASP Top 10) и методов защиты.
• Опыт администрирования Linux/Windows систем.
• Разговорный английский.
• Опыт проведения тестов на проникновение (penetration testing).
• Опыт работы с WAF, SIEM системами.
• Знание стандартов и фреймворков безопасности (ISO 27001, PCI DSS).
• Наличие профильных сертификаций (OSCP, CISSP, CEH, сертификаты по облачной безопасности).
• Опыт построения Threat Modeling.

Супер-важно уметь соблюдать все виды договоренностей. Если вы творческий раздолбай и знаете об этом, к сожалению, мы не сработаемся, даже если вы гениальны.

Пара важных вещей

• При желании вы можете воспользоваться нашей программой релокации, которая распространяется на Европу, Сербию и Грузию.
• Мы работаем удаленно, но с 9 до 18 часов по CET. В это время мы интенсивно созваниваемся и много обсуждаем.
• Итоговая сумма компенсации будет зависеть от вашего опыта, результатов тестового задания и технического интервью, а так же вашей страны проживания.

Зачем мы вам

• Мы строим сильную команду людей с горящими глазами. У каждого свой опыт, которым он охотно делится.
• У нас нет ветвистой иерархии, все люди доступны на расстоянии zoom-звонка. В компании открыта почти вся финансовая статистика, мы регулярно рассказываем как устроен продукт, продажи, саппорт, откуда появляются клиенты и деньги, что интересного случилось и т.д.

Бонусы

Нам важно чтобы работая удаленно, вы чувствовали себя комфортно. Обычно мы отправляем сотрудникам Macbook и нужное число мониторов. Если ваше рабочее место не обустроено, то пришлем стол, удобное кресло и все что нужно для продуктивной работы.
Полностью оплачиваем необходимое ПО, книги и коворкинг, если не хотите работать из дома. Помогаем с оплатой спортзала и бассейна, курсов английского и любого профильного образования.

Раз в год собираемся всей командой в оффлайне. В 2021 мы арендовали огромную виллу на Кипре, в 2022 встречались в отеле под Тбилиси, а в 2023 устроили недельный выезд на 60 человек на курорт в Турции. В следующем году будет что-то новое :-)