我们是世界上最大、最有声望的制药公司之一,成立已有100多年,目前仍在不断发展壮大。我们在DevOps和网络安全团队上投入了大量资源,并计划通过聘请多名长期顾问来扩大这些团队。我们现在急需填补一个关键职位,即高级DevSecOps架构师工程师,合同期为18个月。我们正在寻找一位有安全和隐私经验的高度积极的专业人士加入我们充满活力的团队。作为一个DevSecOps架构师,您将协助威胁建模、应用安全姿态管理、安全编排和漏洞弱点评估,以提高组织的弹性和产品组合。
高级DevSecOps工程师/架构师将做什么?
• 管理产品中的漏洞(第三方)和弱点(第一方),评估其重要性以进行适当的优先级排序,并提供最合适的修复方案,作为产品团队的值得信赖的顾问直接与其合作。
• 进行漏洞监控、(按需)漏洞扫描和其他安全测试活动。
• 为产品团队和关联公司提供专业知识,回答询问、售前请求、合同谈判和其他与网络安全相关的客户支持。
• 在诊断部门的倡议下,为新产品的开发和现有产品的更新/升级、维护和支持实现防御能力的整合做出贡献,与产品支持团队合作。
• 开发和自动化技术工作流程,进行网络安全漏洞调查和评估,并推动新产品的漏洞监控入职,并向组织中的相关利益相关者提供关于漏洞处理和事件响应的培训。
• 开发、维护和不断优化漏洞监控、漏洞管理、事件响应、威胁情报和安全测试的流程、手册和工具。
• 通过在产品开发和运营中培养安全冠军,宣传安全和隐私意识。
• 维护产品安全控制和意识,支持其他PSPO章节(解决方案架构、产品支持和合规/隐私)。
• 开发安全即代码和策略即代码流水线。
高级DevSecOps工程师/架构师需要具备哪些技能和经验?
• 至少3年相关工作经验,熟悉软件开发生命周期(SDLC)和云操作。
• 具有云计算技术、全栈部署等方面的经验。
• 熟悉Kubernetes、Docker、AWS或GCP等云原生工具。
• 熟悉Jenkins/ArgoCD/Tekton或其他常见的CI/CD工具链。
• 熟悉Sigstore、SBOM、SLSA和安全软件供应链管理。
• 能够开发Terraform、Kubernetes清单或其他形式的基础设施即代码。
• 能够编写Rego或Cedar策略。
• 熟悉SAST和DAST工具(Checkmarx、Snyk、Mayhem、BurpSuite、ZAP等)。
• 具备自动化安全控制的经验(例如shell脚本、Python)。
• 深入了解信息安全和隐私风险和威胁建模。
• 深入了解市场发布前后的漏洞处理。
• 深入了解系统和云基础设施的加固。
• 对行业标准(ISO 27000系列和HITRUST)有深入了解。
• 有相关认证(例如SANS GIAC(GCIH、GPEN、GCIA、GCFA等)、CEH、CISSP、CISA、CISM、LA ISO27001)者优先考虑。
对于合适的高级DevSecOps工程师/架构师,有哪些好处?
• 每小时100-115美元的优厚时薪。
• 完全远程工作。
• 在一个拥有无限资源的行业领先公司获得长期18个月的合同(初始)。
• 在一个雇佣超过10万人的知名组织中产生组织影响力。
• 一位非常关心员工和顾问的优秀经理。 
洛杉矶