Back to search
UPSTARS Linkedin · Posted 22d ago

Senior DevSecOps Engineer

Kyiv

Linkedin
Continue to application Add your email once, then Caio opens the original posting.

Indexed description

UPSTARS – продуктова IT-компанія, з якою злітають і люди, і бренди. Наш основний фокус – технологічні рішення та B2B-послуги для міжнародних клієнтів. Запускаємо зіркові проєкти у сфері iGaming, які отримують визнання та найвищі оцінки профільних рейтингів ✨

І так, підтримувати легальний та прозорий ринок України – це маст хев, тому третіми в країні отримали B2B-ліцензію на надання послуг у сфері азартних ігор.

У 2026 ми активно масштабуємо і проєкти, і дрім тім. Тому для підсилення Security команди шукаємо Senior DevSecOps Engineer.

Твої майбутні задачі:

  • побудувати базову операційну модель Application & Infrastructure Security: визначити ownership, SLA, процеси тріажу, винятків, прийняття ризиків, ескалацій і звітності;
  • впровадити процес vulnerability management: виявлення вразливостей, пріоритизація, визначення відповідальних, контроль строків виправлення, управління винятками, remediation та метриками;
  • інтегрувати security controls у SDLC та CI / CD: SAST, SCA, SBOM, secret scanning, container / image scanning, перевірки Dockerfile та поетапні quality gates у пайплайнах;
  • побудувати базовий рівень supply chain security: контроль залежностей, lock-файли, підписування артефактів, захист CI / CD, protected branches та інші механізми безпеки;
  • впровадити cloud та infrastructure security baseline через IaC: IAM Policies, KMS, CloudTrail, GuardDuty, Security Hub, IaC scanning та інші інструменти контролю безпеки;
  • впровадити Kubernetes security controls: Pod Security Standards та / або Kyverno, Network Policies, RBAC review, admission control для контейнерних образів, audit logs і підходи до runtime security;
  • співпрацювати з engineering та platform-командами над усуненням знахідок, зменшенням кількості false positives, покращенням secure coding practices, підготовкою політик, інструкцій та audit evidence для PCI DSS та інших аудитів.

💪 Твої скіли:

  • 5+ років практичного досвіду в DevSecOps / Application Security;
  • практичний production-досвід інтеграції security tools у CI / CD, зокрема GitLab CI та / або GitHub Actions;
  • досвід роботи з SAST, SCA, secret scanning, container / image scanning та security quality gates, використання інструментів рівня Semgrep, SonarQube, Trivy, Snyk, Grype, Gitleaks або аналогів;
  • розуміння безпеки CI / CD: protected branches, protected environments, secrets management, CODEOWNERS, принципів мінімізації прав для runners і service accounts;
  • досвід побудови процесів vulnerability management: тріаж, пріоритизація, SLA, винятки, прийняття ризику, визначення відповідальних, звітність і зниження кількості false positives;
  • розуміння supply chain security: SBOM, dependency pinning, lock-файли, artifact signing, provenance, ризики залежностей і складу програмного забезпечення;
  • production-досвід у cloud security (переважно AWS): IAM Policies, Security Groups, KMS, CloudTrail, GuardDuty, Security Hub, Config Rules, VPC Design;
  • досвід роботи з Kubernetes Security: Pod Security Standards, Network Policies, RBAC, admission control, image policy, audit logs;
  • досвід роботи з IaC Security (переважно Terraform): tfsec, Checkov, policy-as-code або аналогічні рішення;
  • впевнене написання автоматизації на Python, Bash або Go: власні етапи пайплайнів, автоматизація тріажу, API-інтеграції, звітність;
  • розуміння OWASP Top 10, типових web-вразливостей, принципів безпечної розробки та практичних підходів до їх усунення;
  • здатність працювати самостійно, пріоритизувати задачі, досягати результатів з мінімальним контролем та ефективно взаємодіяти з engineering, platform і business-командами.

🤞 Бажано, але не критично:

  • досвід роботи в gambling, fintech або інших регульованих індустріях;
  • практичний досвід роботи з PCI DSS, зокрема Requirement 6 та Requirement 11;
  • досвід роботи з runtime security-рішеннями, такими як Falco, Tetragon або аналогами;
  • досвід підписування контейнерних образів за допомогою Cosign / Sigstore або аналогічних інструментів;
  • досвід роботи з DAST-рішеннями (OWASP ZAP, Nuclei тощо) та їх інтеграцією в staging-середовища;
  • досвід проведення threat modeling із використанням STRIDE або аналогічних методологій для продуктів, API та інфраструктурних змін;
  • досвід побудови Security Champions програм або розробки гайдлайнів і практик безпечної розробки;
  • знайомство з CSPM-платформами (Wiz, Orca, AWS-native рішення або власна автоматизація);
  • досвід роботи з Dependency-Track або аналогічними рішеннями для управління SBOM і вразливостями залежностей.

🌟 Наші цінності та переваги:

  • командність – гуртом не лише працюємо, а ще й відпочиваємо, двіжуємо і робимо добрі справи;
  • позитив – з легкістю йдемо по життю і отримуємо драйв від круто зробленої роботи, цікавих задач і фідбеку тіммейтів;
  • можливості – пропонуємо чіткий кар’єрний план з Performance Review, тренінги, менторинг-програми та інші інструменти для реалізації як у карʼєрі, так і у житті;
  • сміливість – беремося за задачі із зірочкою, не боїмося викликів і амбітних планів;
  • відкритість – говоримо прямо і просто навіть про складне, чуємо ідеї та фідбеки і цінуємо проактивність;
  • маємо власні потужності для створення технологічних рішень з нуля;
  • автоматизуємо рутину, щоб використовувати час для розвитку та професійного зростання всередині компанії;
  • не любимо бюрократію та застарілі підходи – ми за свободу дій.

🍪 Маст-хев:

  • працюй там, де комфортно та безпечно – в офісах або віддалено;
  • офіційне оформлення в Україні або Польщі – підтримаємо у вирішенні бюрократичних питань та допоможемо з документами;
  • 20 робочих днів оплачуваної відпустки, державні вихідні і лікарняні – ми за ворк-лайф беленс;
  • медичне страхування у топових клініках і покриття витрат на психолога на платформі Pleso;
  • Benefit cafe – щомісячно витрачай кошти на уподобання, хобі, спорт тощо;
  • івенти – бери участь у майстер-класах, відвідуй тімбілдинги та корпоративи;
  • навчання під будь-який запит – індивідуальний бюджет на курси, корпоративна англійська, воркшопи та онлайн-бібліотека.

І ще про важливе:

❗️Не маємо клієнтів, які б використовували наші розробки та послуги на українському ринку.

❗️Не працюємо з клієнтами ринку країни-агресора чи будь-якого іншого російськомовного ринку.

Відчуваєш метч за цінностями і бажання професійно зростати? Давай знайомитися! 😉

P.S. Якщо після відгуку не бачиш нашого листа – зазирни у “Спам” або інші розділи. Іноді наші відповіді губляться там 👀

Free. 20 seconds. No password. See every match in this search.

Create a free Caio profile to unlock more results and save your role and location preferences.

Unlock free search
Want help applying to roles like this? Search Caio for free. If CV tailoring and application tracking get heavy, Full Caio Agent adds a human specialist.
View Full Agent