messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
Techcombank

Expert, DevSecOps (40001146)

TP. Ha Noi Technology Division
Expert

Mô tả công việc

## Job Purpose - The job holder responsible for ensuring DevOps becomes a mindset, a culture, and a set of technical practices. - The job holder will provide communication, integration, automation, and close cooperation among all the people needed to plan, develop, test, deploy, release, and maintain a Solution. - The job holder will technically lead DevOps team to design and enhance the Continuous Delivery Pipeline (CDP) that represents the workflows, activities, and automation needed to shepherd a new piece of functionality from ideation to an on-demand release of value to the end user ## Key Accountabilities (1) Continuous Delivery through DevSecOps Factory - Build, map and optimize delivery of the Continuous Delivery Pipeline (CDP) by addressing key elements like: process time, lead time, delay time and percent of complete and accurate. - Continuous Exploration (CE) – understand the market problem / customer need by analyzing and researching to identify the solution required to meet that need, from which suggest development of new features or modification from existing architectures, define and prioritize activities in the Program Backlog. - Continuous Integration (CI) – take features from the Program Backlog and implement them to deliver a completed work which is committed to version control, built and integrated into a full system or solution, and tested end-to-end before being validated in a staging environment. - Continuous Deployment (CD) - take the changes from the staging environment and deploy them to production. - Release on Demand (RoD) - make value available to customers all at once, or in a staggered fashion based market and business needs. ## Key Accountabilities (2) DevSecOps Factory - Build, automate, enhance and measure DevSecOps factory. - Build, automate, enhance and integrate threat modeling. - Build, automate, enhance and integrate application security. - Build, automate, enahnce and integrate penetration testing. - Build, automate, enhance and integrate continious security monitoring. ## Key Accountabilities (3) DevSecOps Targets - Consistently develop software systems with higher quality and accuracy of project budgeting and estimation. - Increase visibility and stakeholder input into features for the next release as it is being developed. - Engage stakeholders early and consistently throughout the SDLC, leading to few defects and incorrect requirements. - Build trust between software development and IT, enable organic process improvement and risk mitigation. - Maximize business value by enabling technical staff to adapt to changing requirements or environmental factors. ## Success Profile - Qualification and Experiences Qualifications - Bachelor's or Master’s degree in computer science, software engineering or information technology Work Experience - At least 7 years of relevant experience in software development and minimum 2 years of experience in DevSecOps setup. - Knowledge of DevSecOps factory pipeline components and DevSecOps Metrics. - Experience working with cloud environments is a must. - Hands-on experience on code, commit, code review, document, test, integrate, qa, monitor with front end and back end languages and technologies. - Experience working with DevSecOps tools is a must (RE protection, SSL pinning, payload encryption, Code quality, source code analysis, SAST/DAST tools). Foreign language - English/ according to TCB's regulations in each period

Phân tích kỹ năng cần có

## Phân tích Kỹ năng cần có cho vị trí Expert, DevSecOps ### 🔧 Hard Skills bắt buộc | Nhóm kỹ năng | Yêu cầu chi tiết | Mức độ ưu tiên | |--------------|------------------|----------------| | **Cloud Platform** | AWS/GCP/Azure (yêu cầu bắt buộc) | ⭐⭐⭐⭐⭐ | | **CI/CD Pipeline** | Jenkins, GitLab CI, Azure DevOps, GitHub Actions | ⭐⭐⭐⭐⭐ | | **Container & Orchestration** | Docker, Kubernetes (EKS/AKS/GKE) | ⭐⭐⭐⭐ | | **Security Tools** | SAST (SonarQube), DAST, Snyk, Checkmarx | ⭐⭐⭐⭐⭐ | | **Infrastructure as Code** | Terraform, Ansible, CloudFormation | ⭐⭐⭐⭐ | | **Scripting** | Python, Bash, PowerShell | ⭐⭐⭐⭐ | | **Monitoring** | Prometheus, Grafana, ELK Stack, Datadog | ⭐⭐⭐⭐ | | **Version Control** | Git (GitFlow, trunk-based) | ⭐⭐⭐⭐⭐ | ### 🔐 DevSecOps Factory Components Dựa trên JD, bạn cần nắm vững: 1. **Threat Modeling** - Tích hợp vào quy trình phát triển 2. **Application Security** - RE protection, SSL pinning, payload encryption 3. **Penetration Testing** - Tự động hóa pentest 4. **Continuous Security Monitoring** - Giám sát bảo mật liên tục 5. **Source Code Analysis** - Phân tích mã nguồn tĩnh ### 🎯 Soft Skills quan trọng - **Leadership** - Dẫn dắt team DevOps - **Communication** - Giao tiếp với stakeholders - **Problem Solving** - Xử lý vấn đề phức tạp - **Change Management** - Thay đổi culture tổ chức ### 📜 Chứng chỉ gợi ý | Chứng chỉ | Nhà cung cấp | Phù hợp | |-----------|--------------|---------| | AWS Solutions Architect Professional | Amazon | Cloud | | Certified Kubernetes Security Specialist (CKS) | CNCF | Security | | AWS DevOps Engineer Professional | Amazon | DevOps | | AZ-400 (Microsoft DevOps Engineer) | Microsoft | DevOps | | OSCP (Offensive Security) | OffSec | Security | | CompTIA Security+ | CompTIA | Security | ### 📊 So sánh mức độ yêu cầu theo JD Techcombank yêu cầu **7+ năm kinh nghiệm software development** và **2+ năm DevSecOps setup** - đây là mức senior/lead. Bạn nên có portfolio thể hiện: - Đã xây dựng CDP từ đầu - Đã implement security vào CI/CD - Đã lead team từ 3-5 người - Metrics cải thiện được (deploy frequency, lead time, MTTR)

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn Expert DevSecOps tại Techcombank ### 📋 Quy trình phỏng vấn dự kiến **Vòng 1: HR Screening (30-45 phút)** - Verify kinh nghiệm, qualification - Tìm hiểu motivation, salary expectation - Culture fit check **Vòng 2: Technical Interview - Level 1 (60-90 phút)** - Deep dive vào DevSecOps pipeline - System design cho security infrastructure - Hands-on coding (Python/Bash) **Vòng 3: Technical Interview - Level 2 (60-90 phút)** - Scenario-based: Xây dựng DevSecOps factory từ đầu - Discussion về metrics, KPIs - Security threat modeling exercise **Vòng 4: Panel/Manager Interview (45-60 phút)** - Leadership and stakeholder management - Strategic thinking - Cultural alignment ### ❓ Câu hỏi hay gặp theo vòng **Vòng HR:** - Tại sao bạn muốn gia nhập Techcombank? - Bạn expect mức lương bao nhiêu? - Describe một project DevSecOps thành công nhất của bạn **Vòng Technical:** - Thiết kế CI/CD pipeline cho một ứng dụng fintech từ đầu - Làm sao integrate security vào CI/CD pipeline? - Khác nhau giữa SAST và DAST? Khi nào dùng cái nào? - Describe quy trình threat modeling của bạn - Làm sao handle false positives trong security scanning? - Kể về một security incident bạn đã xử lý - Implement IaC security best practices như thế nào? **Vòng Manager/Panel:** - Bạn sẽ dẫn dắt team DevOps như thế nào trong 90 ngày đầu? - Làm sao align DevOps culture với business goals? - Handle conflict giữa dev và security team? - Metrics nào bạn dùng để measure DevOps success? ### 💡 Tips chuẩn bị 1. **Nghiên cứu Techcombank:** - Techcombank là ngân hàng TMCP tập trung vào công nghệ - Họ đang chuyển đổi số mạnh, đầu tư nhiều vào tech - Tìm hiểu về digital banking initiatives 2. **Chuẩn bị Portfolio:** - Mô tả chi tiết các CDP đã xây dựng - Metrics cải thiện (deploy frequency tăng bao nhiêu %) - Security incidents đã xử lý 3. **Technical Prep:** - Thực hành viết IaC (Terraform) - Review SAST/DAST tools configuration - Ôn lại Kubernetes security (network policies, pod security) ### 👔 Dress Code - Business casual cho vòng HR - Smart casual cho các vòng technical - Techcombank culture khá progressive, không cần formal suit ### 📍 Lưu ý - Địa điểm: Hà Nội - có thể là onsite hoặc hybrid - Language: Interview có thể bằng tiếng Anh (JD bằng Anh) - Chuẩn bị sẵn sàng thuyết trình case study nếu được yêu cầu

Lộ trình ôn thi

## Ôn thi & Chuẩn bị cho vị trí DevSecOps Expert ### 📚 Kiến thức nền tảng cần nắm vững #### 1. DevOps/DevSecOps Fundamentals - **The Three Ways:** Flow, Feedback, Continuous Learning - **DORA Metrics:** Deployment Frequency, Lead Time for Changes, MTTR, Change Failure Rate - **CALMS Framework:** Culture, Automation, Lean, Measurement, Sharing #### 2. Continuous Delivery Pipeline ``` Plan → Code → Build → Test → Deploy → Release → Operate → Monitor ↓ ↓ ↓ ↓ [Security at every stage] ``` #### 3. Security Integration Points - Pre-commit hooks (secret scanning) - SAST during CI - Dependency scanning - DAST during staging - Container scanning - Runtime protection ### 📖 Tài liệu tham khảo **Sách:** - "DevOps Handbook" - Gene Kim, Jez Humble - "Accelerate" - Nicole Forsgren - "Security Engineering" - Ross Anderson - "The Phoenix Project" - Gene Kim **Online Resources:** - OWASP Top 10 (2021) - NIST Cybersecurity Framework - SANS DevSecOps Guidelines - CNCF Security Technical Advisory Group **Tools Documentation:** - SonarQube, Snyk, Checkmarx documentation - AWS Well-Architected Framework - Security Pillar - Azure Security Center documentation ### 🛠️ Hands-on Labs 1. **Build a Secure CI/CD Pipeline:** - GitHub Actions + Snyk + SonarQube - Implement SAST + Dependency scan 2. **Kubernetes Security:** - Configure network policies - Implement pod security standards - Use Falco for runtime security 3. **Infrastructure as Code Security:** - tfsec, Checkov for Terraform scanning - Ansible security hardening ### 📅 Lộ trình chuẩn bị 2 tuần | Ngày | Nội dung | |------|----------| | 1-2 | Review DevSecOps fundamentals, CALMS framework | | 3-4 | Deep dive vào Security tools (SAST/DAST/SCA) | | 5-6 | Practice IaC security (Terraform, Ansible) | | 7-8 | Kubernetes security deep dive | | 9-10 | Build sample CI/CD pipeline với security | | 11-12 | Review DORA metrics, prepare stories | | 13-14 | Mock interviews, finalize portfolio | ### 🎯 Checklist trước phỏng vấn - [ ] Mô tả được CDP bạn đã xây dựng - [ ] Metrics cải thiện: deployment frequency, MTTR - [ ] Security incidents đã xử lý - [ ] IaC templates đã viết - [ ] Team size đã quản lý - [ ] Certification đạt được

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho DevSecOps Expert ### 🚀 Lộ trình thăng tiến ``` Junior DevOps (2-3 năm) ↓ Mid DevOps/SecOps (3-5 năm) ↓ Senior DevSecOps (5-7 năm) ↓ Expert/Lead DevSecOps ← [VỊ TRÍ NÀY] ↓ DevSecOps Manager ↓ Head of Platform/DevOps ↓ VP/Director of Engineering ``` ### 💰 Mức lương kỳ vọng | Cấp bậc | Kinh nghiệm | Lương tháng (VND) | |---------|-------------|-------------------| | Mid DevOps | 3-5 năm | 25-40 triệu | | Senior DevSecOps | 5-7 năm | 40-70 triệu | | **Expert/Lead** | **7+ năm** | **70-120 triệu** | | Manager | 8-10 năm | 100-150 triệu | **Techcombank** thường competitive với thị trường fintech. Với vị trí Expert: - Base salary: 70-100 triệu VND/tháng - Bonus: 2-4 tháng - Total: 840 triệu - 1.4 tỷ/năm - Thêm: stock options, health insurance premium ### 📈 Kỹ năng cần phát triển thêm **Ngắn hạn (6-12 tháng):** - Deep dive vào Cloud security (AWS Security Specialty) - Learn Kubernetes security (CKS) - Improve presentation skills **Trung hạn (1-2 năm):** - Leadership & people management - Strategic thinking & stakeholder management - Budget planning & resource allocation **Dài hạn (3-5 năm):** - Architecture decision making - Team building & hiring - Industry thought leadership ### 🎯 DevSecOps vs truyền thống DevOps | Aspect | DevOps | DevSecOps | |--------|--------|----------| | Focus | Speed + Quality | Speed + Quality + Security | | Security | End of pipeline | Embedded throughout | | Tooling | CI/CD + Monitoring | + SAST, DAST, SCA, CSPM | | Culture | Dev + Ops collaboration | Dev + Ops + Security | ### 🏦 Tại sao chọn Techcombank? **Pros:** - Ngân hàng TMCP lớn, đầu tư mạnh vào tech - Culture hiện đại, nhiều startup vibe - Cơ hội làm việc với hệ thống scale lớn - Competitive salary & benefits **Cons:** - Áp lực chuyển đổi số cao - Legacy systems vẫn còn - Stakeholder complexity trong ngành ngân hàng ### 🔄 Chuyển từ DevOps sang DevSecOps Nếu bạn đang là DevOps muốn chuyển: 1. Học về AppSec fundamentals (OWASP Top 10) 2. Tích hợp security tools vào pipeline hiện tại 3. Tham gia security incidents 4. Lấy chứng chỉ security (AWS Security Specialty) 5. Tham gia AppSec community ### 📊 Key Metrics để track progression - Deployment Frequency - Lead Time for Changes - Mean Time to Recovery (MTTR) - Change Failure Rate - Security vulnerabilities remediated time

Câu hỏi thường gặp

Vị trí Expert DevSecOps tại Techcombank yêu cầu bao nhiêu năm kinh nghiệm?

Theo JD, bạn cần tối thiểu 7 năm kinh nghiệm trong software development và 2 năm kinh nghiệm setup DevSecOps. Đây là vị trí cấp senior/lead, nên kinh nghiệm thực tế xây dựng CDP và security pipeline là bắt buộc.

DevSecOps khác DevOps như thế nào và tại sao ngành ngân hàng cần DevSecOps?

DevSecOps tích hợp security xuyên suốt SDLC thay vì đặt ở cuối pipeline. Ngành ngân hàng cần DevSecOps vì: (1) Regulatory compliance nghiêm ngặt (2) Protection of sensitive financial data (3) Prevent breaches that cost millions (4) Faster secure releases trong cuộc đua digital transformation.

Mức lương cho vị trí DevSecOps Expert tại Techcombank là bao nhiêu?

JD ghi 'Thỏa thuận' nhưng với vị trí Expert và yêu cầu 7+ năm kinh nghiệm, mức lương thường từ 70-120 triệu VND/tháng, bonus 2-4 tháng. Techcombank competitive với thị trường fintech/ngân hàng số. Bạn nên đề xuất based on current salary + expectations.

Kỹ năng Cloud nào cần thiết cho vị trí này?

Techcombank yêu cầu 'Experience working with cloud environments is a must'. Bạn cần thành thạo ít nhất một cloud platform (AWS/GCP/Azure) ở mức professional. Nên có chứng chỉ như AWS Solutions Architect Professional hoặc Azure DevOps Engineer Expert. Ngoài ra cần biết về cloud security services.

Làm sao để chuẩn bị cho vòng phỏng vấn technical DevSecOps?

Focus vào: (1) Thiết kế secure CI/CD pipeline từ đầu (2) Giải thích cách integrate SAST/DAST/SCA vào pipeline (3) Threat modeling process (4) Handle false positives trong security scanning (5) DORA metrics improvement stories. Chuẩn bị hands-on coding Python/Bash và IaC (Terraform).

Tôi đang là DevOps muốn chuyển sang DevSecOps, cần làm gì?

5 bước: (1) Học AppSec fundamentals - OWASP Top 10 là bắt buộc (2) Integrate security tools (Snyk, SonarQube) vào pipeline hiện tại (3) Tham gia xử lý security incidents (4) Lấy chứng chỉ như AWS Security Specialty hoặc CKS (5) Network với AppSec/DevSecOps community.

Công việc hàng ngày của DevSecOps Expert tại ngân hàng là gì?

Typical day bao gồm: Review security alerts từ monitoring, Optimize CDP để giảm thời gian deploy, Coach team về secure coding practices, Collaborate với Dev teams để fix vulnerabilities, Incident response nếu có security issues, Measure và report DORA metrics, Plan cho releases tiếp theo.

Các DevSecOps tools nào được nhắc đến trong JD và cần biết gì?

JD đề cập: RE protection, SSL pinning, payload encryption, Code quality tools, Source code analysis, SAST/DAST tools. Cụ thể cần biết: SonarQube (code quality/SAST), Snyk/Dependabot (SCA), OWASP ZAP (DAST), Falco (runtime security). Nên có hands-on experience với ít nhất 2-3 tools trong mỗi category.
Ứng tuyển ngay Luyện đề thi ngân hàng

Từ khóa

techcombank DevOps / Hạ tầng An ninh thông tin
Xem tất cả tin tuyển dụng