messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
Techcombank

Chuyên viên Cao cấp DevSecOps (40001147)

Hà Nội Technology Division
Chuyên gia

Mô tả công việc

## Mục tiêu Kỹ sư cao cấp DevSecOps chịu trách nhiệm giao tiếp, tích hợp, tự động hóa và hợp tác linh hoạt giữa tất cả các nhóm chức năng chéo để lập kế hoạch, phát triển, kiểm tra, triển khai, phát hành và duy trì một giải pháp; quản lý và dẫn dắt nhóm DevSecOps thiết kế, triển khai, tự động hóa và nâng cao các pipeline workflow/ Tích hợp liên tục đại diện cho các cách làm việc, quy trình công việc và hoạt động git của DevSecOps để cung cấp các chức năng từ bằng chứng khái niệm đến giải phóng giá trị theo yêu cầu cho người dùng cuối cùng. ## Trách nhiệm chính (1) Trách nhiệm trong Quản trị và điều hành công việc - Giao hàng liên tục thông qua DevSecOps Factory: + Xây dựng, lập bản đồ và tối ưu hóa việc cung cấp các đường ống Giao hàng liên tục bằng cách giải quyết các yếu tố chính như: Thời gian xử lý, Thời gian dẫn, Thời gian trễ, Tỷ lệ hoàn thành và độ chính xác. + Khám phá liên tục bằng cách phân tích và nghiên cứu sự phát triển và triển khai các công nghệ / tính năng mới; sửa đổi và cải tiến các kiến ​​trúc hiện có; xác định và ưu tiên các hoạt động trong nền tảng tồn đọng theo nhu cầu của nó. + Tích hợp liên tục bằng cách xây dựng, tích hợp các tính năng, sửa lỗi các phiên bản mới của dịch vụ và nền tảng; tự động hóa kiểm tra đầu cuối và xác nhận các dịch vụ ứng dụng trên môi trường phi sản xuất. + Triển khai liên tục các dịch vụ và nền tảng từ phi sản xuất đến sản xuất. + Phát hành các tính năng ứng dụng / dịch vụ nhanh chóng, hiệu quả và đầu tiên ra thị trường theo yêu cầu của doanh nghiệp. - Nhà máy DevSecOps: + Xây dựng, triển khai, cải tiến và đo lường nhà máy DevSecOps: Chuỗi công cụ, Văn hóa, Cách làm việc, Bộ tư duy + Xây dựng, tự động hóa, nâng cao và tích hợp quản trị bảo mật: Giám sát bảo mật liên tục của ứng dụng and nền tảng; Kiểm tra bảo mật API; Kiểm tra thâm nhập; Giao thức Fuzzing; Mô hình hóa mối đe dọa. - Báo cáo định kỳ cho Giám đốc DevSecOps. ## Trách nhiệm chính (2) Tối ưu hóa và tuân thủ: - Triển khai và nâng cao Kiểm tra và Xác minh tự động, với: + Xác minh giá trị kinh doanh dự kiến. + Các khiếm khuyết được tìm thấy và khắc phục ngay lập tức (Cuộn về phía trước) - Tăng khả năng hiển thị với việc tạo Thông tin và Báo cáo tự động, bằng cách cung cấp: + Năng động tự phục vụ thông tin + Trang tổng quan có thể tùy chỉnh + Tham khảo chéo qua các ranh giới tổ chức - Thu hút các bên liên quan và nhất quán trong suốt SDLC, dẫn đến ít sai sót và yêu cầu không chính xác. - Xây dựng lòng tin giữa kỹ thuật phần mềm và CNTT, cho phép cải tiến quy trình hữu cơ và giảm thiểu rủi ro. - Tối đa hóa giá trị kinh doanh bằng cách tạo điều kiện cho nhân viên kỹ thuật thích ứng với các yêu cầu thay đổi hoặc các yếu tố môi trường. - Đảm bảo các thành viên trong nhóm thực hiện các cam kết về chất lượng dịch vụ và tuân thủ các quy định, chính sách của Ngân hàng. ## Chân dung Thành công - Bằng cấp, Kinh nghiệm Bằng cấp - Bằng tốt nghiệp Đại học trở lên, chuyên ngành tài chính/ kinh tế / ngân hàng/ quản trị kinh doanh/ khoa học máy tính Kinh nghiệm - Tối thiểu 05 năm kinh nghiệm trong lĩnh vực Phát triển Phần mềm và tối thiểu 02 năm kinh nghiệm DevSecOps setup. - Kiến thức nâng cao về DevSecOps factory pipeline components và DevSecOps Metrics. - Kiến thức nâng cao và kinh nghiệm làm việc môi trường public và hybrid cloud. - Chủ động trong việc code, cam kết, tài liệu, kiểm tra, tích hợp, kiểm tra chất lượng, giám sát đối với các thuật ngữ frontend, backend và các Công nghệ khác. - Kiến thức nâng cao và có kinh nghiệm sử dụng các công cụ DevSecOps Chain và an ninh thông tin. - Kiến thức nâng cao và có kinh nghiệm Infrastructure as Code and Configuration management Trình độ ngoại ngữ - Tiếng Anh theo quy định của TCB từng thời kỳ

Phân tích kỹ năng cần có

## Phân tích Kỹ năng cho vị trí Senior DevSecOps Engineer - Techcombank ### 1. Hard Skills bắt buộc | Nhóm kỹ năng | Chi tiết | Mức độ yêu cầu | |-------------|----------|----------------| | **CI/CD Pipeline** | Jenkins, GitLab CI/CD, Azure DevOps, GitHub Actions | Nâng cao | | **Container & Orchestration** | Docker, Kubernetes (EKS/AKS/GKE), Helm | Nâng cao | | **Infrastructure as Code** | Terraform, Ansible, CloudFormation | Nâng cao | | **Cloud Platform** | AWS/GCP/Azure (public + hybrid), Multi-cloud architecture | Nâng cao | | **Security Tools** | SAST (SonarQube), DAST, Penetration Testing, API Security Testing, Fuzzing | Nâng cao | | **Monitoring & Observability** | Prometheus, Grafana, ELK Stack, Splunk, Datadog | Trung bình- Cao | | **Scripting/Programming** | Python, Bash, Go hoặc Java | Nâng cao | | **Version Control** | Git (GitFlow, trunk-based), Bitbucket | Nâng cao | | **Configuration Management** | Puppet, Chef, Ansible | Trung bình | ### 2. Soft Skills quan trọng - **Giao tiếp liên phòng ban**: DevSecOps là cầu nối giữa Dev, Ops và Security - **Kỹ năng lãnh đạo nhóm**: Quản lý và dẫn dắt team DevSecOps - **Tư duy giải quyết vấn đề**: Xử lý các incident phức tạp dưới áp lực - **Khả năng trình bày**: Báo cáo định kỳ cho Giám đốc DevSecOps - **Tư duy bảo mật (Security-first mindset)**: Tích hợp security vào mọi stage của SDLC ### 3. Chứng chỉ gợi ý (Ưu tiên cao) ``` BẮT BUỘC hoặc RẤT KHUYẾN KHÍCH: ├── AWS Certified DevOps Engineer Professional ├── Google Professional DevOps Engineer ├── CKA (Kubernetes Administrator) ├── Certified Kubernetes Security Specialist (CKS) └── AWS/GCP Security Specialty NÊN CÓ: ├── AWS Solutions Architect Associate ├── HashiCorp Terraform Associate ├── Docker Certified Associate └── AZ-400 (Microsoft DevOps Solutions) ``` ### 4. DevSecOps Pipeline Components cần nắm vững **Security Integration Points:** - **Pre-commit**: Secret scanning, SAST (pre-flight checks) - **Commit stage**: SAST, dependency scanning (SCA) - **Build stage**: Container scanning, artifact signing - **Test stage**: DAST, integration testing, API security testing - **Deploy stage**: Configuration scanning, compliance checks - **Production**: Runtime security, threat modeling, continuous monitoring ### 5. So sánh mức độ yêu cầu DevSecOps vs DevOps thông thường | Khía cạnh | DevOps Engineer | DevSecOps Engineer (vị trí này) | |-----------|-----------------|----------------------------------| | Security focus | Cơ bản | Chuyên sâu, chủ động | | Threat modeling | Không bắt buộc | Bắt buộc | | Penetration testing | Awareness | Có kinh nghiệm thực hiện | | Compliance | Hiểu biết | Triển khai và đảm bảo | | Incident response | Cơ bản | Nâng cao, tự động hóa | | Risk assessment | Không yêu cầu | Có kinh nghiệm | ### 6. Yêu cầu đặc thù của Techcombank - **Ngành ngân hàng**: Hiểu biết về regulations ngân hàng (QCVN, TTgDQT), PCI-DSS, ISO 27001 - **Hybrid cloud**: Thường là AWS/Azure hybrid với on-premise - **Scale lớn**: Techcombank là ngân hàng lớn, hệ thống enterprise-grade - **DevSecOps Factory**: Xây dựng culture, không chỉ công cụ

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn Senior DevSecOps Engineer - Techcombank ### Quy trình các vòng phỏng vấn (Dự kiến) ``` Vòng 1: HR Screening (30-45 phút) ├── Kiểm tra kinh nghiệm, động lực ứng tuyển ├── Xác nhận mức lương kỳ vọng └── Đánh giá tiếng Anh sơ bộ Vòng 2: Technical Interview - Team Lead/DevSecOps Manager (60-90 phút) ├── Deep dive vào kinh nghiệm DevSecOps ├── System design cho CI/CD pipeline ├── Security implementation scenarios └── Hands-on lab hoặc whiteboard coding Vòng 3: Technical Interview - Architect/VP (60 phút) ├── Kiến trúc hệ thống enterprise-level ├── Chiến lược DevSecOps transformation ├── Leadership và team management └── Case study: Security incident handling Vòng 4: Final Interview - Director/C-Suite (30-45 phút) ├── Cultural fit ├── Strategic thinking ├── Career alignment └── Compensation discussion ``` ### Câu hỏi hay gặp theo từng vòng **Vòng 1 - HR (Screen):** - "Tại sao bạn muốn chuyển sang DevSecOps từ vai trò hiện tại?" - "Bạn có thể mô tả DevSecOps pipeline hiện tại của công ty bạn?" - "Mức lương kỳ vọng của bạn là bao nhiêu?" - "Bạn biết gì về Techcombank và văn hóa làm việc ở đây?" **Vòng 2 - Technical (Team Lead):** - "Hãy thiết kế một CI/CD pipeline hoàn chỉnh từ đầu đến cuối cho một ứng dụng ngân hàng" - "Làm thế nào để tích hợp security scanning vào CI/CD pipeline mà không làm chậm quá trình deploy?" - "Describe how you would implement zero-trust security in a hybrid cloud environment" - "Bạn xử lý như thế nào khi có security vulnerability được phát hiện ở production?" - "Hands-on: Viết một Terraform script để provision infrastructure cho một web application" - "Giải thích sự khác nhau giữa SAST, DAST, và IAST" - "Làm thế nào để đo lường hiệu quả của DevSecOps pipeline?" **Vòng 3 - Architect/VP:** - "Design a multi-region disaster recovery architecture for a banking system" - "How would you convince development teams to adopt security-first practices?" - "Describe a challenging DevSecOps transformation project you led. What were the obstacles?" - "Bạn sẽ xây dựng 'DevSecOps Factory' như thế nào cho Techcombank?" - "Scenario: Production system has been compromised. Walk me through your incident response" - "Làm thế nào để cân bằng giữa security và developer productivity?" - "Triển khai infrastructure as code cho hệ thống legacy như thế nào?" **Vòng 4 - Final (Director/C-Suite):** - "Where do you see yourself in 3-5 years?" - "How would you build and scale a DevSecOps team from scratch?" - "What is your approach to keeping up with rapidly evolving security threats?" - "Describe your leadership philosophy" - "How do you handle disagreements with stakeholders on security vs. speed trade-offs?" ### Tips chuẩn bị cụ thể cho Techcombank **1. Research Techcombank:** - Techcombank là một trong những ngân hàng TMCP lớn nhất Việt Nam - Họ đang trong giai đoạn chuyển đổi số mạnh mẽ (digital transformation) - Văn hóa "Customer First" - thể hiện trong cách họ định nghĩa value stream - Tech stack đa dạng: Java, .NET, microservices, cloud-native **2. Chuẩn bị portfolio dự án:** - Mang theo các case study cụ thể về: - CI/CD pipeline bạn đã xây dựng (before/after metrics) - Security integration thành công - Incident response experience - Team building/leadership stories **3. Technical prep checklist:** ``` □ Viết được Terraform script từ memory □ Thiết kế được CI/CD pipeline với security gates □ Giải thích được Kubernetes security best practices □ Mô tả được zero-trust architecture □ Có kinh nghiệm với至少 1 cloud provider (AWS/GCP/Azure) □ Hiểu về container security (Docker/Kubernetes) □ Có kiến thức về API security (OAuth, JWT, API Gateway) □ Quen thuộc với security tools như SonarQube, OWASP ZAP, Vault ``` **4. Dress code:** - Business casual hoặc smart casual - Techcombank có dress code khá thoải mái cho tech roles - Tránh vest cứng nhắc, nhưng vẫn chỉnh tề **5. Câu hỏi nên hỏi nhà tuyển dụng:** - "Team DevSecOps hiện tại có bao nhiêu người và cơ cấu ra sao?" - "DevSecOps maturity level của ngân hàng hiện tại ở đâu?" - "Những thách thức lớn nhất mà team đang đối mặt là gì?" - "Cơ hội học tập và phát triển cho vị trí này?"

Lộ trình ôn thi

## Ôn thi & Chuẩn bị cho vị trí Senior DevSecOps Engineer ### Lộ trình chuẩn bị 2 tuần (Full-time study) ``` TUẦN 1: Nền tảng & Deep Dive ├── Ngày 1-2: DevOps/DevSecOps fundamentals review ├── Ngày 3-4: CI/CD pipeline deep dive ├── Ngày 5-6: Cloud security (AWS/GCP/Azure) └── Ngày 7: Container & Kubernetes security TUẦN 2: Chuyên sâu & Mock Interview ├── Ngày 8-9: Security integration & threat modeling ├── Ngày 10-11: IaC & Configuration management ├── Ngày 12-13: Practice interviews & case studies └── Ngày 14: Light review & rest ``` ### Kiến thức nền bắt buộc phải nắm vững **1. DevSecOps Fundamentals:** ``` References: ├── Microsoft DevOps Fundamentals (free online) ├── DevOps Handbook - Gene Kim, Jez Humble ├── DevSecOps: How to Secure DevOps Pipeline - Raghwinder Soni └── OWASP DevSecOps Maturity Model Key concepts: ├── Three Ways: Flow, Feedback, Continuous Learning ├── CALMS framework (Culture, Automation, Lean, Measurement, Sharing) ├── DORA metrics (Deployment Frequency, Lead Time, MTTR, Change Failure Rate) └── Security in DevOps (DevSecOps) practices ``` **2. CI/CD Pipeline Architecture:** ``` Must understand: ├── Build tools: Maven, Gradle, npm, yarn ├── CI servers: Jenkins, GitLab CI, GitHub Actions, Azure DevOps ├── Artifact management: Nexus, Artifactory, GitLab Packages ├── Deployment strategies: Blue-green, Canary, Rolling ├── Git branching strategies: GitFlow vs Trunk-based └── Pipeline optimization: Caching, parallel execution, incremental builds ``` **3. Container & Kubernetes Security:** ``` Resources: ├── "Cloud Native DevOps with Kubernetes" - O'Reilly ├── Kubernetes Security (LFS260) - Linux Foundation ├── CKA exam curriculum (free to review) └── aquasec.com/blog Topics: ├── Container security best practices (least privilege, rootless) ├── Image scanning & signing (Trivy, Clair, Cosign) ├── Network policies & segmentation ├── Pod security policies / Pod Security Standards ├── RBAC configuration ├── Secrets management (HashiCorp Vault, AWS Secrets Manager) └── Runtime security (Falco, Sysdig) ``` **4. Cloud Security (AWS primary for Techcombank):** ``` AWS Services to master: ├── Compute: EC2, ECS, EKS, Lambda ├── Networking: VPC, Security Groups, NACLs, WAF, Shield ├── IAM: Roles, Policies, SSO, Permission Boundaries ├── Storage: S3 (encryption, versioning, lifecycle) ├── Monitoring: CloudTrail, Config, CloudWatch, GuardDuty ├── Security: Security Hub, Inspector, KMS, Certificate Manager └── DevOps: CodePipeline, CodeBuild, CodeDeploy, CodeCommit Certifications to reference: ├── AWS Solutions Architect Associate ├── AWS Security Specialty (for senior role) └── Well-Architected Framework - Security Pillar ``` **5. Infrastructure as Code & Configuration Management:** ``` Terraform (priority): ├── HCL syntax & best practices ├── State management (remote state, locking) ├── Modules & workspaces ├── Terragrunt for DRY configs └── Policy as Code (OPA, Sentinel) Ansible: ├── Playbooks & Roles ├── Inventory management ├── Vault for secrets └── Idempotency principles ``` **6. Security Tools & Practices:** ``` Application Security: ├── SAST: SonarQube, Checkmarx, Snyk Code, Semgrep ├── DAST: OWASP ZAP, Burp Suite, Netsparker ├── SCA: Snyk, Dependabot, WhiteSource ├── IAST: Contrast Security └── Secrets scanning: Gitleaks, TruffleHog Infrastructure Security: ├── Vulnerability scanning: Nessus, Qualys, OpenVAS ├── Penetration testing tools: Metasploit, Nmap └── Compliance: Chef InSpec, AWS Config Rules Monitoring & Logging: ├── SIEM: Splunk, ELK, Graylog ├── APM: Datadog, New Relic, AppDynamics └── Alerting: PagerDuty, Opsgenie ``` ### Tài liệu tham khảo bổ sung **Books (nên đọc trước):** 1. "The DevOps Handbook" - Gene Kim et al. (DevOps fundamentals) 2. "Accelerate" - Nicole Forsgren (DORA metrics, research) 3. "Infrastructure as Code" - Kief Morris (IaC philosophy) 4. "Security Engineering" - Ross Anderson (Security mindset) 5. "The Phoenix Project" - Gene Kim (DevOps culture) **Online Courses (free/paid):** - Pluralsight: DevOps and Security learning path - Udemy: DevSecOps with Docker and Kubernetes - A Cloud Guru: AWS DevOps learning path - Coursera: DevOps, Cloud, and Agile Foundations **Vietnamese Banking-specific:** - TTgDQT regulations (thông tư quản lý công nghệ ngân hàng) - PCI-DSS requirements overview - Vietnam banking cybersecurity guidelines ### Practice Exercises **Hands-on labs để luyện:** ``` 1. Build a complete CI/CD pipeline from scratch → Use: Jenkins + Docker + Kubernetes + Security scanning 2. Terraform project for multi-tier web application → Include: VPC, EC2, RDS, Security Groups, IAM 3. Kubernetes security hardening → Deploy: Pod security, network policies, RBAC 4. Security scanning integration → Integrate: SonarQube, Trivy, OWASP ZAP vào pipeline 5. Incident response simulation → Practice: Detection, containment, eradication, recovery ``` **Sample interview system design:** - "Design a secure CI/CD pipeline for a banking mobile app" - "How would you implement zero-trust for your organization's cloud infrastructure?" - "Design a multi-environment promotion strategy with security gates"

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho Senior DevSecOps Engineer ### Lộ trình thăng tiến điển hình ``` Junior DevOps (0-2 năm) ↓ Mid DevOps Engineer (2-4 năm) ↓ Senior DevOps/DevSecOps Engineer (4-7 năm) ← BẠN ĐANG Ở ĐÂY ↓ Staff/Principal DevSecOps Engineer (7-10 năm) ↓ DevSecOps Architect / Engineering Manager (8-12 năm) ↓ Director of Platform Engineering / VP Engineering (12+ năm) ``` ### Mức lương kỳ vọng theo cấp bậc (Hà Nội, 2024) | Cấp bậc | Kinh nghiệm | Lương tháng (VND) | Notes | |---------|-------------|-------------------|-------| | DevOps Engineer | 2-4 năm | 25-40 triệu | Entry level ngành | | Senior DevOps | 4-7 năm | 40-70 triệu | Vị trí này | | Staff Engineer | 7-10 năm | 70-100 triệu | Technical leadership | | Principal Engineer | 10+ năm | 100-150 triệu | Strategy level | | DevSecOps Manager | 8-12 năm + team mgmt | 80-120 triệu | Management track | | Director | 12+ năm | 150-250 triệu | Strategic leadership | **Techcombank-specific:** - Ngân hàng thường có mức lương cạnh tranh với fintech - Thêm: 13th month salary, performance bonus (1-4 months) - Total compensation có thể đạt 100-150 triệu/năm cho senior level - Stock options hoặc ESOP có thể có cho vị trí senior ### Kỹ năng cần phát triển thêm (từ Senior → Staff/Architect) **1. Technical Breadth (12-18 tháng tới):** ``` □ Multi-cloud architecture (không chỉ AWS, thêm GCP hoặc Azure) □ Service mesh (Istio, Linkerd) cho microservices security □ Event-driven architecture & Serverless security □ Platform engineering mindset (internal developer platform) □ FinOps (cloud cost optimization + security) └── Advanced Kubernetes (custom operators, admission controllers) ``` **2. Leadership & Strategy (18-24 tháng tới):** ``` □ Technical strategy writing & presentation □ Stakeholder management (VP/C-level communication) □ Team building & mentoring (mentor 2-3 engineers) □ Hiring & interviewing (sourcer, panel interviewer) □ Cross-functional collaboration (Security, Compliance, Business) └── Budget planning & resource allocation ``` **3. Security Specialization (cho DevSecOps path):** ``` □ Threat modeling methodologies (STRIDE, PASTA) □ Application security (OWASP Top 10, API security) □ Cloud security posture management (CSPM) □ Security incident response & forensics □ Compliance frameworks (PCI-DSS, SOC 2, ISO 27001) └── Security metrics & executive reporting ``` ### Lộ trình phát triển 3-5 năm cho vị trí này **Năm 1-2 (巩固 Senior level):** ``` Mục tiêu: Expert-level DevSecOps practitioner ├── Hoàn thiện security skill set (nếu chưa có security background) ├── Lead 1-2 major projects hoàn toàn ├── Mentoring 1-2 junior team members ├── Đạt được AWS DevOps Professional hoặc CKS certification └── Build credibility với stakeholders ``` **Năm 2-3 (Transition to Staff/Lead):** ``` Mục tiêu: Technical leadership, bắt đầu định hướng strategy ├── Drive DevSecOps transformation initiatives ├── Design platform/infrastructure for new products ├── Lead cross-functional improvements ├── Contributor to hiring process └── Public speaking (internal tech talks, conferences) ``` **Năm 3-5 (Senior Staff/Architect path):** ``` Mục tiêu: Define technical direction for entire platform ├── Architecture reviews và RFC author ├── Build and scale team (10+ engineers) ├── Strategic vendor/partnership decisions ├── Budget ownership (tens of billions VND) ├── External thought leadership (blog posts, conference talks) └── Consider management track nếu quan tâm ``` ### Chuyển đổi career path liên quan **Từ DevOps → DevSecOps:** ``` Ưu điểm: Đã có pipeline, automation, cloud skills Cần bổ sung: Security fundamentals, threat modeling Lộ trình: 6-12 tháng học security + hands-on projects ``` **Từ Security → DevSecOps:** ``` Ưu điểm: Security mindset, vulnerability assessment Cần bổ sung: Development skills, CI/CD, Cloud Lộ trình: 12-18 tháng học DevOps tools + coding ``` **Từ Software Developer → DevSecOps:** ``` Ưu điểm: Strong coding, SDLC understanding Cần bổ sung: Infrastructure, operations, security Lộ trình: 12-18 months hands-on with ops tools ``` ### Lời khuyên từ chuyên gia > **"DevSecOps không phải là thêm security vào cuối pipeline. Đó là xây dựng security vào DNA của toàn bộ quá trình phát triển."** **3 điều cần nhớ:** 1. **Security là enabler, không phải gatekeeper** - Làm security càng smooth càng tốt để dev teams embrace nó 2. **Measure everything** - Nếu không đo được, không thể cải thiện (DORA metrics) 3. **Culture > Tools** - Công cụ có thể mua, nhưng văn hóa DevSecOps cần được xây dựng

Câu hỏi thường gặp

Em mới chuyển từ DevOps sang DevSecOps, thiếu kinh nghiệm security chuyên sâu thì có ứng tuyển được vị trí này không?

Có thể ứng tuyển được nếu bạn có: **Điểm mạnh đã có:** - Kinh nghiệm CI/CD pipeline, automation - Cloud infrastructure (AWS/GCP/Azure) - Container & Kubernetes - Scripting/Programming **Điểm cần bổ sung trước khi ứng tuyển:** - Security fundamentals: OWASP Top 10, Common vulnerabilities - Basic threat modeling concepts - Security scanning tools: SonarQube, SAST/DAST concepts - Hiểu cách tích hợp security vào CI/CD pipeline **Chiến lược:** 1. Học thêm security concepts (2-3 tháng) 2. Làm pet project có security integration 3. Apply với tư cách Senior DevOps, propose chuyển sang DevSecOps 4. Đề cập security learning journey trong CV và phỏng vấn Techcombank đánh giá cao engineers có growth mindset. Nếu bạn show được passion và proactiveness trong security, họ sẽ cân nhắc.

Mức lương Senior DevSecOps ở Techcombank thường là bao nhiêu?

Mức lương cụ thể phụ thuộc vào kinh nghiệm và skills, nhưng dựa trên market data 2024: **Tham khảo:** - Junior-Mid (2-4 năm kinh nghiệm DevOps): 25-40 triệu/tháng - Senior (4-7 năm): 40-70 triệu/tháng - Staff/Principal (7+ năm): 70-100+ triệu/tháng **Với Techcombank specifically:** - Ngân hàng lớn thường competitive với fintech về lương - Total package bao gồm: base + 13th month + performance bonus (1-4 months) - Có thể đạt 800 triệu - 1.2 tỷ/năm cho senior level - Stock options/ESOP có thể có cho vị trí senior **Tips đàm phán:** - Research mức lương trên Glassdoor, Glints, TopCV trước - Đề xuất mức dựa trên current total compensation + 20-30% - Thể hiện security certifications nếu có (CKS, AWS Security Specialty) - Mention competing offers nếu có để leverage

DevSecOps ở ngân hàng khác gì so với công ty công nghệ?

Rất khác biệt! Đây là những điểm chính: **1. Compliance & Regulations:** - Phải tuân thủ PCI-DSS, TTgDQT, SOX - Audit trail bắt buộc cho mọi change - Change management process nghiêm ngặt hơn **2. Security Requirements:** - Security-first mindset trong mọi decision - Regular penetration testing bắt buộc - Data classification và encryption everywhere - Network segmentation phức tạp hơn **3. Infrastructure Constraints:** - Thường có hybrid model (on-prem + cloud) - Legacy systems phải integrate - More restrictions (can't just use any tool/service) **4. Change Management:** - Banks chậm thay đổi hơn vì risk averse - Multiple approval layers - Longer deployment cycles (thường chỉ deploy 1-2 lần/tuần) **5. Culture:** - Hierarchical hơn, nhiều stakeholders - Cân bằng giữa innovation và stability - Document-driven (nhiều documentation hơn) **6. Upside:** - Scale lớn, interesting challenges - Highly stable environment - Better work-life balance (thường ít on-call hơn startup) - Strong compliance culture giúp bạn học được nhiều

Câu hỏi phỏng vấn DevSecOps hay gặp nhất là gì và trả lời như thế nào?

Câu hỏi phổ biến nhất thường là: **"Làm thế nào để tích hợp security vào CI/CD pipeline mà không làm chậm quá trình deploy?"** **Framework trả lời:** **1. Phân tích vấn đề:** Security gates thường chậm vì: - SAST scans full codebase (15-30 phút) - Container image scanning (2-5 phút) - Manual approvals **2. Giải pháp cụ thể:** ``` □ Fast checks (pre-commit): Chạy trước khi merge - Secret scanning (git hooks) - Linting, format check - Unit tests nhỏ □ Async security scanning (sau khi merge): - SAST, dependency scanning chạy background - Gửi alert nếu có issues mới - Không block deploy trừ khi CRITICAL severity □ Shift-left: Đưa security feedback sớm vào IDE - IDE plugins cho SonarQube, Snyk - Pre-commit hooks □ Graduated gates: - DEV/STAGING: Full security scan (chấp nhận chờ) - PROD: Chỉ CRITICAL blockers, fast checks □并行化 và caching: - Chạy multiple scans song song - Cache results cho unchanged files ``` **3. Kết luận:** "Security không nên là bottleneck. Nó phải là invisible safety net - developers không cần nghĩ về nó vì nó đã được tự động hóa trong workflow của họ." **Best practice metric:** Aim for < 10 phút total security gate time for PR checks.

Em có 5 năm kinh nghiệm DevOps nhưng chưa có cert nào. Có cần thiết phải lấy chứng chỉ không?

Certifications có giá trị nhưng không bắt buộc. Cân nhắc như sau: **Khi nào CERT CÓ GIÁ TRỊ:** - Career changer (từ non-tech sang DevOps) - Mới học cloud/security, cần structured learning - Công ty yêu cầu cho promotion/role change - Đang apply vào large enterprise (như ngân hàng) **Khi nào CERT KHÔNG CẦN THIẾT:** - Đã có 5+ năm hands-on experience - Có strong portfolio của các projects thực tế - Đang apply vào startup/scale-up (quan trọng hơn là skills) **Prioritized cert list cho DevSecOps path:** ``` Tier 1 (Nên có nếu chưa có cloud cert): ├── AWS Solutions Architect Associate (SAA) └── AWS Developer Associate (DVA) Tier 2 (Rất valuable cho DevSecOps): ├── AWS DevOps Engineer Professional ├── Certified Kubernetes Administrator (CKA) └── Certified Kubernetes Security Specialist (CKS) Tier 3 (Nice to have, rất chuyên sâu): ├── AWS Security Specialty ├── Google Professional DevOps Engineer └── HashiCorp Terraform Associate ``` **Chiến lược:** 1. Đang apply: Có 1 cloud cert (AWS/GCP) là đủ để pass HR screen 2. Không cần tất cả - chọn 1-2 phù hợp và deep dive 3. Hands-on projects > certs trong phỏng vấn technical 4. Nếu có budget, lấy cert để negotiate salary cao hơn

Team DevSecOps ở Techcombank thường có bao nhiêu người và cấu trúc ra sao?

Dựa trên quy mô Techcombank và JD này, đây là phỏng đoán: **Team structure (ước tính):** ``` DevSecOps / Platform Engineering Team ├── DevSecOps Director/VP (1) ├── DevSecOps Manager (1-2) ├── Senior DevSecOps Engineers (3-5) ← vị trí này ├── Mid-level DevSecOps Engineers (5-8) ├── Junior Engineers / Interns (2-4) └── Total team: 15-30 người ``` **Sub-teams có thể có:** 1. **CI/CD Squad**: Pipeline development, toolchain management 2. **Infrastructure/Cloud Squad**: Cloud architecture, IaC 3. **Security/Compliance Squad**: Security scanning, compliance automation 4. **Observability Squad**: Monitoring, logging, alerting 5. **Platform/Developer Experience**: Internal developer platform **Trong ngân hàng lớn, bạn có thể là:** - Platform Engineer tập trung vào developer experience - Security-focused DevSecOps - Cloud Infrastructure lead - SRE/Reliability-focused role **Tips:** - Hỏi HR về team structure trong screening call - Xác định focus area phù hợp với interest của bạn - Leadership track vs Individual contributor track nên discuss sớm

Kỹ năng nào quan trọng nhất để thành công ở vai trò này?

Với Senior DevSecOps, đây là top priorities theo thứ tự: **1. Tư duy Security-First (QUAN TRỌNG NHẤT):** - Không phải biết mọi vulnerability, nhưng biết khi nào cần hỏi security team - Understand threat modeling và risk assessment - Make security invisible nhưng effective **2. Automation-first mindset:** - Mọi thứ lặp lại > 2 lần → phải tự động hóa - Scripting là bắt buộc (Python/Bash/Go) - Không tự động hóa = technical debt **3. Communication & Collaboration:** - DevSecOps là bridge giữa teams - Phải translate technical sang business language - Manage expectations giữa speed và security **4. System Design & Architecture:** - Design scalable, maintainable systems - Hiểu trade-offs (speed vs security, cost vs performance) - Future-proofing decisions **5. Learning agility:** - Tech stack thay đổi liên tục (mỗi 2-3 năm) - Phải học nhanh, unlearn nhanh - Đọc blogs, attend conferences, experiment **Soft skill cần nhấn mạnh trong phỏng vấn:** "Tôi đã từng phải convince một skeptical development team adopt security gates. Tôi approach bằng cách..." - Show story-based evidence của soft skills