Beschreibung
TätigkeitenbeschreibungBeschreibung des Projekt-/Verfahrenskontexts
Die Leistungen des Auftragnehmers (externen Fachkraft) werden für die Geschäftsbereiche Business- und Individual Solution Development im Rahmen des Programms „Innovative Security Excellence @ DB Systel“ (ISE@DBS) erbracht. Dieses Programm bündelt eine Reihe von Aktivitäten zur durchgängigen Erreichung eines angemessenen Sicherheitsniveaus. Eine dieser Aktivitäten zielt auf die Prüfung und Etablierung von Maßnahmen, die durch die Einführung von DevOps notwendig werden. Dazu gehören nicht zuletzt die Automatisierung und Integration von Sicherheitstests im Rahmen einer CI/CD-Pipeline, die Absicherung der CI/CD-Pipeline selbst sowie Anpassungen in den Prozessen, die durch die enge Zusammenarbeit von Entwicklung und Betrieb notwendig werden.
Der Dienstleister erbringt folgende Leistungen:
- Beratung bei der Ergänzung und Durchführung von CI/CD-Pipelines durch automatisierte Sicherheitsprüfungen. Dazu gehören beispielsweise die Integration von SAST-Tools (wie z.B. Fortify) oder die Verwendung von Scan-Tools, welche eine deployte Anwendung auf Schwachstellen hin untersuchen.
- Beratung bei der Entwicklung und Durchführung von Vorgaben zur Absicherung von CI / CD- Pipelines. Ziel ist, die Nutzung von CI / CD Pipelines durch Angreifer soweit wie möglich auszuschließen.
- Beratung bei der Identifikation und Durchführung weiterer Maßnahmen, die mit der Einführung von DevOps für die Erreichung eines angemessenen Sicherheitsniveaus notwendig sind. Darunter können auch Prozessanpassungen fallen, die durch die enge Zusammenarbeit von Entwicklung und Betrieb in DevOps-Teams notwendig werden.
Darüber hinaus sind regelmäßige Abstimmungen mit dem Projekt „Softwareentwicklung goes Cloud“ geplant, in dem die Organisation der DB Systel auf die Einführung eines cloudbasierten, nach DevOps Prinzipien arbeitenden Entwicklungs- und Betriebsmodell vorbereitet wird.
Anforderungsprofil an Erfüllungsgehilfen (externe Fachkräfte)
Gewichtung fachliche Anforderungen: 70%
Die Angebote müssen die im Folgenden definierten Muss-Anforderungen sowie die Soll-Anforderungen in ausreichendem Maße erfüllen, ansonsten werden Sie von der Angebotsbewertung ausgeschlossen.
Benötigte Skills
Ggf. Level
Detaillierung
Muss-Kriterium
Soll-Kriterium
Persönliche Erfahrungen bei der Ausgestaltung und Einführung einer CI/CD Pipeline
x
Kenntnisse im Umgang mit den wichtigsten Tools einer CI/CD-Pipeline.
z.B. Maven, Git, JUnit, Jenkins, Selenium, Artifactory
x
Praktische Erfahrung im Aufbau von Dockerinfrastrukturen
IaaS, Docker, Kubernetes /
OpenShift, Cloud (z.B. AWS)
x
Kenntnisse im Konfigurationsmanagement mit GIT, und der Einsatz von Buildwerkzeugen ist für Sie selbstverständlich.
GIT, Maven, Gradle, NPM und WebPack
x
Langjährige Erfahrung mit agilen DevOps-Teams und den zugrundeliegenden Prozessen
Direkte Einsätze in DevOps-Teams oder Begleitung von DevOps-Teams
x
Tiefe Kenntnisse von Tools und Methoden zur Überprüfung von Anwendungen auf Sicherheitslücken
SAST-Tools (z.B. Fortify), Scantools (z.B. Burp Suite), etc.
x
Tiefe Kenntnisse in der Absicherung der Elemente von CI / CD-Pipelines
x
Sicheres Auftreten und Fähigkeit Menschen zu begeistern
Hohe Fähigkeit komplexe Sachverhalte allgemeinverständlich zu erklären / vermitteln
x
Ihre Berater bringen fundierte Programmierkenntnisse in mindestens einer Sprache mit.
z.B. Java
x
Erfahrung mit dem Monitoring von Infrastructure und Loganalysen, etwa mit dem ELK Stack.
x
Erfahrungen / Zertifizierungen
Muss-Kriterium
Soll-Kriterium
Abgeschlossenes Studium der (Wirtschafts) Informatik oder vergleichbare berufliche Praxiserfahrung
x
Mindestens zwei Jahre Erfahrung mit Cloud, CI/CD und DevOps
x
Mindestens zwei Jahre Erfahrung in den Bereichen Anwendungssicherheit und Sicherheit von Umgebungen
x