DevSecOps Engineer

• Thiết kế và xây dựng quy trình DevSecOps toàn diện, bao gồm việc thiết lập các điểm kiểm soát bảo mật (security gates) tại mỗi giai đoạn SDLC để phát hiện và khắc phục lỗ hổng sớm.
• Thiết kế và triển khai các pipeline CI/CD an toàn sử dụng các công cụ như Jenkins, GitLab CI, GitHub Actions, CircleCI hoặc AWS CodePipeline, tích hợp kiểm tra bảo mật tự động (ví dụ: SAST - Static Application Security Testing, DAST - Dynamic Application Security Testing, SCA - Software Composition Analysis).
• Tích hợp bảo mật vào mọi giai đoạn của SDLC (shift-left security), bao gồm threat modeling, vulnerability scanning, và quản lý bí mật (secrets management)
• Giám sát và phân tích rủi ro bảo mật trong quy trình CI/CD, xử lý lỗ hổng kịp thời, và đảm bảo tuân thủ các tiêu chuẩn như OWASP Top 10, OWASP MASVS , CIS control và các quy định compliance theo yêu cầu của tổ chức.
• Hợp tác với các đội ngũ để tự động hóa kiểm tra bảo mật, thực hiện penetration testing, và cải tiến liên tục quy trình DevSecOps để tăng tốc độ phát triển nhưng vẫn đảm bảo phần mềm phát triển an toàn.
• Xây dựng và duy trì Infrastructure as Code (IaC) với Terraform hoặc Ansible, đảm bảo bảo mật cho môi trường containerization (Docker, Kubernetes).
• Xây dựng báo cáo định kỳ về hiệu suất bảo mật và mức độ tuân thủ trong quy trình CI/CD.

- Ít nhất 3 năm kinh nghiệm trong DevOps hoặc DevSecOps, với trọng tâm vào xây dựng CI/CD pipelines và tích hợp bảo mật vào SDLC.
- Có kinh nghiệm thực tế trong việc triển khai và sử dụng các công cụ bảo mật open source như SonarQube, Trivy, OWASP ZAP, GitLeaks, Semgrep, Checkov, và các giải pháp tương tự
-Kiến thức sâu về bảo mật container security, và scripting languages (Python, Bash, Go) để tự động hóa quy trình.
-Kinh nghiệm trong các ngành yêu cầu bảo mật cao như tài chính.