Senior DevSecOps

Small - крупнейший казахстанский ритейлер с более чем 150 магазинами, собственными ЦОДами и облачной платформой.
Мы активно развиваем инженерную культуру безопасности и ищем DevSecOps-инженера , который встроит безопасность в процессы разработки и эксплуатации цифровых сервисов: от мобильного API и e-commerce до внутренних микросервисов и платформенных решений.
Это роль для человека, которому интересно не просто включать сканеры, а выстраивать системную модель безопасной разработки: интегрировать проверки в CI/CD, управлять секретами, контролировать зависимости и контейнеры, минимизировать риски supply chain и делать безопасность частью инженерного процесса, а не внешним контролем.
Ты станешь частью команды информационной безопасности, но будешь тесно работать с backend-разработчиками, DevOps и платформенной командой.
Твоя зона ответственности - чтобы код, контейнеры, пайплайны и инфраструктура, на которых работают наши сервисы, были безопасны по умолчанию , управляемы и прозрачны для мониторинга и аудита.
Задачи:
• Встроить проверки безопасности в CI/CD (SAST, SCA, image scanning).
• Обеспечить сканирование контейнерных образов и базовых image.
• Настроить безопасное хранение и использование секретов через Vault.
• Исключить статические секреты из репозиториев и pipeline.
• Реализовать базовую модель SSDLC для всех новых проектов.
• Настроить контроль конфигураций Kubernetes (RBAC, admission policies).
• Обеспечить формирование SBOM для сервисов.
• Совместно с ИБ определить блокирующие и неблокирующие проверки.
• Подготовить документацию и регламенты по secure CI/CD.
Требования:
• Опыт DevOps / DevSecOps от 3 лет .
• Практический опыт работы с GitLab CI/CD.
• Опыт внедрения SAST / SCA.
• Опыт работы с Docker и Kubernetes.
• Понимание принципов SSDLC.
• Опыт работы с Vault или аналогичными системами.
• Понимание принципов сетевой и инфраструктурной безопасности.
• Linux на уровне уверенного администратор а.
Будет преимуществом:
• Опыт внедрения admission controller (OPA / Kyverno).
• Опыт container signing (cosign).
• Опыт работы с SBOM (Syft и др.)
• Опыт внедрения security в production-K8s.
• Опыт участия в SOC2 / ISO 27001.
Мы предлагаем:
• Возможность работать удаленно или в офисе в Алматы.
• Участие в построении DevSecOps-практик с нуля в крупной технологической компании.
• Реальное влияние на архитектуру разработки, CI/CD и платформенных решений.
• Работа с современной инфраструктурой: Kubernetes, облако, собственные ЦОДы, микросервисная архитектура.
• Свободу в выборе инструментов и подходов - безопасность не по чеклисту, а по инженерной логике.
• Поддержку со стороны команды ИБ и вовлечённость бизнеса в развитие цифровых сервисов.
• Возможность выстроить устойчивую модель безопасной разработки, которая станет стандартом для всей компании.
• Конкурентную компенсацию и долгосрочные задачи без безопасности "для галочки".