Керівник напрямку впровадження Secure CI/CD

1. Мета ролі 

Побудова та впровадження єдиного, безпечного та керованого Secure CI/CD-процесу для розробки, тестування та розгортання програмного забезпечення з урахуванням вимог безпеки, регуляторики та критичності систем. 

Роль має архітектурно-керівний характер і не обмежується виконанням функцій DevOps-інженера. 

2. Зона відповідальності 

Кандидат відповідатиме за: 

• формування цільової архітектури Secure CI/CD (on-prem / hybrid / cloud) 
• визначення та впровадження security controls у CI/CD pipeline, зокрема: 
• SAST / DAST / SCA 
• secret scanning 
• підпис та верифікацію артефактів 
• генерацію SBOM 
• впровадження policy-as-code та security gates 
• управління доступами в CI/CD: 
• OIDC та short-lived credentials 
• принцип мінімальних привілеїв 
• розділення ролей (development / operations / security) 
• побудову процесів: 
• secure release management 
• change management (CAB) 
• incident та rollback procedures 
• визначення метрик (KPI) та формування audit evidence 
• інтеграцію Secure CI/CD з: 
• SCM (Git) 
• IAM 
• artifact repositories та registries 

• координацію роботи команд розробки, експлуатації та безпеки 

   

3. Обов’язкові компетенції (must-have) 

Технічні компетенції 

• глибоке розуміння CI/CD та Git-based workflows 
• практичний досвід побудови або трансформації Secure CI/CD 
• розуміння принципів software supply chain security 
• практичне знання: 
• SBOM (CycloneDX / SPDX) 
• artifact signing 
• досвід роботи з on-prem або ізольованими середовищами 
• досвід роботи з регульованими або критичними системами 

Безпекові та процесні компетенції 

• практичне розуміння підходів Zero Trust та Least Privilege 
• вміння мапити CI/CD-процеси на вимоги: 
• NIST 
• ISO 27001 / 27002 
• досвід побудови контрольованих release-процесів та audit trail 

Управлінські компетенції 

• здатність формувати стандарти, політики та вимоги 
• вміння пояснювати складні технічні рішення керівництву 
• досвід роботи зі стейкхолдерами (Dev, Security, Management) 

• сильні навички структурованого документування 

   

4. Бажані компетенції (nice-to-have) 

• практичний досвід роботи з AWS CodeBuild та AWS CodeDeploy 
• розуміння інтеграції AWS CI/CD-сервісів із: 
• secure pipelines 
• artifact signing 
• SBOM generation 
• досвід побудови DevSecOps-процесів як системного підходу 

• досвід роботи у великих або регульованих організаціях 

   

6. Профіль кандидата (коротко) 

Архітектор та керівник, який поєднує розуміння безпеки, процесів і розробки та здатний вибудувати Secure CI/CD як інституційну інфраструктуру, а не окремий DevOps-pipeline.