DevSecOps Engineer

شرح وظایف

• طراحی، پیاده‌سازی و بهبود فرآیندهای DevSecOps در چرخه توسعه نرم‌افزار (SDLC).  
• یکپارچه‌سازی ابزارهای امنیتی (مانند SAST, DAST, IAST, SCA) در خطوط لوله CI/CD.  
• نظارت و ارزیابی مستمر آسیب‌پذیری‌های امنیتی در کد، زیرساخت و برنامه‌های کاربردی.  
• همکاری با تیم‌های توسعه، عملیات و امنیت برای بهبود فرهنگ امنیتی در سازمان.  
• خودکارسازی تست‌های امنیتی و پاسخگویی به حوادث امنیتی.  
• پیکربندی و مدیریت ابزارهای مانیتورینگ امنیتی و لاگ‌گیری برای شناسایی تهدیدات.  
• مستندسازی فرآیندها، سیاست‌ها و بهترین روش‌های امنیتی.  
• آموزش و راهنمایی تیم‌های فنی در زمینه اصول امنیتی و DevSecOps. 

شرایط احراز

مهارت‌های پایه:

• تسلط به مفاهیم DevOps (Docker, Kubernetes, CI/CD, IaC با Terraform یا CloudFormation).  
• تجربه کار با ابزارهای مانیتورینگ و لاگ‌گیری (Prometheus, Grafana, ELK Stack).  
• دانش قوی از لینوکس، شبکه‌های کامپیوتری و پروتکل‌های امنیتی.  
• توانایی نوشتن اسکریپت‌های خودکارسازی (Bash, Python, PowerShell).  

تسلط بر ابزارها و فناوری‌های امنیتی:

• SAST (Static Application Security Testing): ابزارهایی مانند SonarQube, Checkmarx, Fortify.  
• DAST (Dynamic Application Security Testing): ابزارهایی مانند OWASP ZAP, Burp Suite, Nessus 
• SCA (Software Composition Analysis): ابزارهایی مانند Snyk, Dependency-Check, WhiteSource 
• IAST (Interactive Application Security Testing): ابزارهایی مانند Contrast Security 
• مدیریت آسیب‌پذیری و Threat Modeling 
• انجام VM با ابزارهای مربوطه مانند Defect Dojo
• آشنایی با استانداردهای امنیتی مانند OWASP Top 10, CIS Benchmarks, NIST 

مهارت‌های اضافه مطلوب:  

• گواهینامه‌های امنیتی مانند CEH, OSCP, CSSLP 
• تجربه در امنیت Containerها و Orchestrationها (Kubernetes Security, Falco).  
• دانش رمزنگاری و مدیریت secretها (HashiCorp Vault, KMS).