Komputerləşmə və İKT

Azercell

Təhlükəsizlik departamenti / Kibertəhlükəsizlik şöbəsi / Kiber Hücum və DevSecOps bölümünün aparıcı mühəndisi

Vakansiya haqqında ümumi məlumat:

Bu vəzifədə Siz, inkişaf prosesinin bütün mərhələlərində təhlükəsizlik düşüncəsini formalaşdırmaq və təhlükəsiz dizaynı təmin etməklə yanaşı, kodu avtomatlaşdırılmış analiz ("SAST", "SCA", "DAST") vasitəsilə yoxlayacaq, gizli məlumatları (token, parol və s.) etibarlı şəkildə idarə edəcək, konteyner imicləri və "Kubernetes" mühitinin (o cümlədən konteyner icra mühiti) təhlükəsizliyini təmin edəcək, tətbiq infrastrukturunu möhkəmləndirəcək, "CI/CD Pipeline"-larda (məsələn, GitLab) təhlükəsizlik tədbirlərini tətbiq edəcək, konteyner saxlama və paylama mühitləri alətləri ("FluxCD", "ArgoCD", "Harbor", "JFrog" və s.) qoruyacaq, həmçinin uyğunluq tələblərini (ISO 27001, PCI-DSS haqqında məlumatlılıq) təşkilat daxilində təmin edərək DevSecOps-u SDLC boyunca inteqrasiya edəcəksiniz.

İş qrafiki: Hibrid iş rejimi ilə: Bazar ertəsi - Cümə, 09:00 - 18:00. Şənbə və bazar günləri, milli bayramlar və matəm günü qeyri-iş günləridir

İş yeri:

  • “Azercell Telecom” LLC,
  • 149 Tbilisi Avenue, Baku, Azerbijan

Əsas vəzifə öhdəlikləri:

  • Təhlükəsizlik testlərinin, zəifliklərin skan edilməsinin və uyğunluğun yoxlanılmasının DevOps həyat dövrü boyunca avtomatlaşdırılması.və CI/CD prosesinə inteqrasiya etmək.
  • Təhlükəsizliyin DevOps iş axınlarının hər bir hissəsinə daxil edilməsini təmin etmək üçün inkişaf, IT və təhlükəsizlik komandaları ilə sıx əməkdaşlıq etmək.
  • Kodu avtomatlaşdırılmış analiz (SAST, SCA, DAST) vasitəsilə yoxlamaq, Statik kod analizi (SAST), dinamik analiz (DAST) və konteyner təhlükəsizlik alətləri kimi təhlükəsizlik alətlərini seçmək, konfiqurasiya etmək  və Azercellin mühitində tətbiqlərin statik və dinamik kod analizini yerinə yetirmək.
  • Proqram təminatının inkişafının bütün həyat dövrü boyunca təhlükəsiz proqram təminatı inkişaf etdirmə təcrübələrini hazırlamaq və həyata keçirmək.
  • Texniki təfərrüatlar və müəyyən edilmiş problemlər üçün düzəliş tövsiyələri daxil olmaqla hesabatlar hazırlamaq.
  • Tətbiqlərin inkişaf prosesinin bütün mərhələlərində təhlükəsizlik düşüncəsini formalaşdırmaq və təhlükəsiz dizaynı təmin etmək
  • Proqram tərtibatçılara və DevOps mühəndislərinə mütəmadi mentorluq və dəstək göstərərək, komandada “təhlükəsizlik-öncə” mədəniyyətini formalaşdırmaq.
  • Konteyner saxlama və paylama mühitləri alətlərini (FluxCD, ArgoCD, Harbor, JFrog və s.) qorumaq, konteyner imiclərini möhkəmləndirmək (hardening) və zəiflikləri önləmək üçün avtomatlaşdırılmış skan proseslərini tətbiq etmək.
  • ƏS (məsələn, CIS Benchmarks) və host səviyyəsində təhlükəsizlik konfiqurasiyalarını qurmaq, yerləşdirmək və idarə etmək və konteyner icra mühitində (runtime) anormal davranışları və ya “escape” cəhdlərini aşkarlamaq üçün müvafiq həllər tətbiq edərək infrastrukturun möhkəmliyini artırmaq.
  • İdarəetmə və Uyğunluğun Avtomatlaşdırılması (Governance & Compliance) üçün ISO 27001 və PCI DSS tələblərini inteqrasiya etmək, “Compliance as Code” (məsələn, OPA) yanaşmalarını tətbiq etmək.
  • HashiCorp Vault və ya digər Enterprise həlllərini tətbiq edərək minimal imtiyaz (least privilege) siyasətlərini icra etmək, məxfi məlumatların təhlükəsiz rotasiyasını təmin etmək.

Tələb olunan təcrübə, bilik və bacarıqlar:

  • Kompüter elmləri, mühəndislik və ya ekvivalent ixtisas üzrə Bakalavr və ya Magistr dərəcəsi.
  • Təhlükəsizlik mühəndisliyi, DevSecOps və ya əlaqəli sahələrdə minimum 5 illik praktiki iş təcrübəsi.
  • CI/CD prosesi, konteynerləşdirilmiş platformalar və bulud infrastrukturunda təhlükəsizlik həllərini tətbiq etmək.
  • CI/CD (GitLab, Jenkins və s.) prosesləri ilə yaxından tanışlıq.
  • Hər mərhələdə təhlükəsizlik yoxlamalarını inteqrasiya etmək bacarığı.
  • Konteyner texnologiyaları (Docker, Podman və s.) sahəsində təcrübə.
  • Konteyner orkestrasiya texnologiyaları (Kubernetes, OpenShift və s.) ilə işləmə bacarığı.
  • SAST/DAST/SCA alətlərinin (SonarQube, Fortify, Snyk, OWASP ZAP və s.) və infrastruktur təhlükəsizlik skanerlərinin konfiqurasiyası və idarə edilməsi sahəsində təcrübə.
  • Ansible və Helmchart kimi alətlər barədə yaxşı anlayış.
  • Təhlükəsizlik tapşırıqlarının və xüsusi alətlərin avtomatlaşdırılması üçün ən azı bir proqramlaşdırma dilində (Python, Go, Bash) yüksək səviyyədə bacarıq.
  • Linux ƏS yaxşı bilmək.
  • OWASP Top 10, ümumi təhdid modelləri və zəifliklərin idarəedilməsi üzrə dərin biliklər.
  • Gizli məlumatların idarə edilməsi (Vault, KMS), şifrələmə strategiyaları və IAM üzrə ən yaxşı təcrübələr sahəsində praktik təcrübə.
  • Uyğunluq və tənzimləmə standartları (ISO 27001, SOC 2, PCI DSS və s.) və onların texniki tətbiqləri barədə məlumatlılıq.
  • Mükəmməl ünsiyyət və interpersonal bacarıqlar; müxtəlif auditoriyalara mürəkkəb təhlükəsizlik konsepsiyalarını izah etmək qabiliyyəti.
  • Sürətli iş mühitində problemləri həll etmək üçün güclü analitik düşüncə.
  • Müstəqil işləmə, detallara diqqət yetirmə və təhlükəsizlik təşəbbüslərini öz üzərinə götürmə bacarığı.

Üstünlük kimi nəzərə alınacaq:

  • Məxfi məlumatların idarə edilməsi (Secrets Management) ilə təcrübə.
  • Programlaşdırma Təcrübəsi(Development Experience)

İşə qəbul mərhələləri

  • CV qəbulu
  • Tapşırıq mərhələsi
  • Müsahibə mərhələsi

Daha çox blog yazılarımız:

[moreBlogs]