Expert, DevSecOps (40001146)
Mô tả công việc
## Job Purpose
- The job holder responsible for ensuring DevOps becomes a mindset, a culture, and a set of technical practices.
- The job holder will provide communication, integration, automation, and close cooperation among all the people needed to plan, develop, test, deploy, release, and maintain a Solution.
- The job holder will technically lead DevOps team to design and enhance the Continuous Delivery Pipeline (CDP) that represents the workflows, activities, and automation needed to shepherd a new piece of functionality from ideation to an on-demand release of value to the end user
## Key Accountabilities (1)
Continuous Delivery through DevSecOps Factory
- Build, map and optimize delivery of the Continuous Delivery Pipeline (CDP) by addressing key elements like: process time, lead time, delay time and percent of complete and accurate.
- Continuous Exploration (CE) – understand the market problem / customer need by analyzing and researching to identify the solution required to meet that need, from which suggest development of new features or modification from existing architectures, define and prioritize activities in the Program Backlog.
- Continuous Integration (CI) – take features from the Program Backlog and implement them to deliver a completed work which is committed to version control, built and integrated into a full system or solution, and tested end-to-end before being validated in a staging environment.
- Continuous Deployment (CD) - take the changes from the staging environment and deploy them to production.
- Release on Demand (RoD) - make value available to customers all at once, or in a staggered fashion based market and business needs.
## Key Accountabilities (2)
DevSecOps Factory
- Build, automate, enhance and measure DevSecOps factory.
- Build, automate, enhance and integrate threat modeling.
- Build, automate, enhance and integrate application security.
- Build, automate, enahnce and integrate penetration testing.
- Build, automate, enhance and integrate continious security monitoring.
## Key Accountabilities (3)
DevSecOps Targets
- Consistently develop software systems with higher quality and accuracy of project budgeting and estimation.
- Increase visibility and stakeholder input into features for the next release as it is being developed.
- Engage stakeholders early and consistently throughout the SDLC, leading to few defects and incorrect requirements.
- Build trust between software development and IT, enable organic process improvement and risk mitigation.
- Maximize business value by enabling technical staff to adapt to changing requirements or environmental factors.
## Success Profile - Qualification and Experiences
Qualifications
- Bachelor's or Master’s degree in computer science, software engineering or information technology
Work Experience
- At least 7 years of relevant experience in software development and minimum 2 years of experience in DevSecOps setup.
- Knowledge of DevSecOps factory pipeline components and DevSecOps Metrics.
- Experience working with cloud environments is a must.
- Hands-on experience on code, commit, code review, document, test, integrate, qa, monitor with front end and back end languages and technologies.
- Experience working with DevSecOps tools is a must (RE protection, SSL pinning, payload encryption, Code quality, source code analysis, SAST/DAST tools).
Foreign language
- English/ according to TCB's regulations in each period
Phân tích kỹ năng cần có
## Phân tích Kỹ năng cần có cho vị trí Expert, DevSecOps
### 🔧 Hard Skills bắt buộc
| Nhóm kỹ năng | Yêu cầu chi tiết | Mức độ ưu tiên |
|--------------|------------------|----------------|
| Cloud Platform | AWS/GCP/Azure (yêu cầu bắt buộc) | ⭐⭐⭐⭐⭐ |
| CI/CD Pipeline | Jenkins, GitLab CI, Azure DevOps, GitHub Actions | ⭐⭐⭐⭐⭐ |
| Container & Orchestration | Docker, Kubernetes (EKS/AKS/GKE) | ⭐⭐⭐⭐ |
| Security Tools | SAST (SonarQube), DAST, Snyk, Checkmarx | ⭐⭐⭐⭐⭐ |
| Infrastructure as Code | Terraform, Ansible, CloudFormation | ⭐⭐⭐⭐ |
| Scripting | Python, Bash, PowerShell | ⭐⭐⭐⭐ |
| Monitoring | Prometheus, Grafana, ELK Stack, Datadog | ⭐⭐⭐⭐ |
| Version Control | Git (GitFlow, trunk-based) | ⭐⭐⭐⭐⭐ |
### 🔐 DevSecOps Factory Components
Dựa trên JD, bạn cần nắm vững:
1. Threat Modeling - Tích hợp vào quy trình phát triển
2. Application Security - RE protection, SSL pinning, payload encryption
3. Penetration Testing - Tự động hóa pentest
4. Continuous Security Monitoring - Giám sát bảo mật liên tục
5. Source Code Analysis - Phân tích mã nguồn tĩnh
### 🎯 Soft Skills quan trọng
- Leadership - Dẫn dắt team DevOps
- Communication - Giao tiếp với stakeholders
- Problem Solving - Xử lý vấn đề phức tạp
- Change Management - Thay đổi culture tổ chức
### 📜 Chứng chỉ gợi ý
| Chứng chỉ | Nhà cung cấp | Phù hợp |
|-----------|--------------|---------|
| AWS Solutions Architect Professional | Amazon | Cloud |
| Certified Kubernetes Security Specialist (CKS) | CNCF | Security |
| AWS DevOps Engineer Professional | Amazon | DevOps |
| AZ-400 (Microsoft DevOps Engineer) | Microsoft | DevOps |
| OSCP (Offensive Security) | OffSec | Security |
| CompTIA Security+ | CompTIA | Security |
### 📊 So sánh mức độ yêu cầu theo JD
Techcombank yêu cầu 7+ năm kinh nghiệm software development và 2+ năm DevSecOps setup - đây là mức senior/lead. Bạn nên có portfolio thể hiện:
- Đã xây dựng CDP từ đầu
- Đã implement security vào CI/CD
- Đã lead team từ 3-5 người
- Metrics cải thiện được (deploy frequency, lead time, MTTR)
Chuẩn bị phỏng vấn
## Hướng dẫn Phỏng vấn Expert DevSecOps tại Techcombank
### 📋 Quy trình phỏng vấn dự kiến
Vòng 1: HR Screening (30-45 phút)
- Verify kinh nghiệm, qualification
- Tìm hiểu motivation, salary expectation
- Culture fit check
Vòng 2: Technical Interview - Level 1 (60-90 phút)
- Deep dive vào DevSecOps pipeline
- System design cho security infrastructure
- Hands-on coding (Python/Bash)
Vòng 3: Technical Interview - Level 2 (60-90 phút)
- Scenario-based: Xây dựng DevSecOps factory từ đầu
- Discussion về metrics, KPIs
- Security threat modeling exercise
Vòng 4: Panel/Manager Interview (45-60 phút)
- Leadership and stakeholder management
- Strategic thinking
- Cultural alignment
### ❓ Câu hỏi hay gặp theo vòng
Vòng HR:
- Tại sao bạn muốn gia nhập Techcombank?
- Bạn expect mức lương bao nhiêu?
- Describe một project DevSecOps thành công nhất của bạn
Vòng Technical:
- Thiết kế CI/CD pipeline cho một ứng dụng fintech từ đầu
- Làm sao integrate security vào CI/CD pipeline?
- Khác nhau giữa SAST và DAST? Khi nào dùng cái nào?
- Describe quy trình threat modeling của bạn
- Làm sao handle false positives trong security scanning?
- Kể về một security incident bạn đã xử lý
- Implement IaC security best practices như thế nào?
Vòng Manager/Panel:
- Bạn sẽ dẫn dắt team DevOps như thế nào trong 90 ngày đầu?
- Làm sao align DevOps culture với business goals?
- Handle conflict giữa dev và security team?
- Metrics nào bạn dùng để measure DevOps success?
### 💡 Tips chuẩn bị
1. Nghiên cứu Techcombank:
- Techcombank là ngân hàng TMCP tập trung vào công nghệ
- Họ đang chuyển đổi số mạnh, đầu tư nhiều vào tech
- Tìm hiểu về digital banking initiatives
2. Chuẩn bị Portfolio:
- Mô tả chi tiết các CDP đã xây dựng
- Metrics cải thiện (deploy frequency tăng bao nhiêu %)
- Security incidents đã xử lý
3. Technical Prep:
- Thực hành viết IaC (Terraform)
- Review SAST/DAST tools configuration
- Ôn lại Kubernetes security (network policies, pod security)
### 👔 Dress Code
- Business casual cho vòng HR
- Smart casual cho các vòng technical
- Techcombank culture khá progressive, không cần formal suit
### 📍 Lưu ý
- Địa điểm: Hà Nội - có thể là onsite hoặc hybrid
- Language: Interview có thể bằng tiếng Anh (JD bằng Anh)
- Chuẩn bị sẵn sàng thuyết trình case study nếu được yêu cầu
Lộ trình ôn thi
## Ôn thi & Chuẩn bị cho vị trí DevSecOps Expert
### 📚 Kiến thức nền tảng cần nắm vững
#### 1. DevOps/DevSecOps Fundamentals
- The Three Ways: Flow, Feedback, Continuous Learning
- DORA Metrics: Deployment Frequency, Lead Time for Changes, MTTR, Change Failure Rate
- CALMS Framework: Culture, Automation, Lean, Measurement, Sharing
#### 2. Continuous Delivery Pipeline
```
Plan → Code → Build → Test → Deploy → Release → Operate → Monitor
↓ ↓ ↓ ↓
[Security at every stage]
```
#### 3. Security Integration Points
- Pre-commit hooks (secret scanning)
- SAST during CI
- Dependency scanning
- DAST during staging
- Container scanning
- Runtime protection
### 📖 Tài liệu tham khảo
Sách:
- "DevOps Handbook" - Gene Kim, Jez Humble
- "Accelerate" - Nicole Forsgren
- "Security Engineering" - Ross Anderson
- "The Phoenix Project" - Gene Kim
Online Resources:
- OWASP Top 10 (2021)
- NIST Cybersecurity Framework
- SANS DevSecOps Guidelines
- CNCF Security Technical Advisory Group
Tools Documentation:
- SonarQube, Snyk, Checkmarx documentation
- AWS Well-Architected Framework - Security Pillar
- Azure Security Center documentation
### 🛠️ Hands-on Labs
1. Build a Secure CI/CD Pipeline:
- GitHub Actions + Snyk + SonarQube
- Implement SAST + Dependency scan
2. Kubernetes Security:
- Configure network policies
- Implement pod security standards
- Use Falco for runtime security
3. Infrastructure as Code Security:
- tfsec, Checkov for Terraform scanning
- Ansible security hardening
### 📅 Lộ trình chuẩn bị 2 tuần
| Ngày | Nội dung |
|------|----------|
| 1-2 | Review DevSecOps fundamentals, CALMS framework |
| 3-4 | Deep dive vào Security tools (SAST/DAST/SCA) |
| 5-6 | Practice IaC security (Terraform, Ansible) |
| 7-8 | Kubernetes security deep dive |
| 9-10 | Build sample CI/CD pipeline với security |
| 11-12 | Review DORA metrics, prepare stories |
| 13-14 | Mock interviews, finalize portfolio |
### 🎯 Checklist trước phỏng vấn
- [ ] Mô tả được CDP bạn đã xây dựng
- [ ] Metrics cải thiện: deployment frequency, MTTR
- [ ] Security incidents đã xử lý
- [ ] IaC templates đã viết
- [ ] Team size đã quản lý
- [ ] Certification đạt được
Tư vấn nghề nghiệp
## Lời khuyên Sự nghiệp cho DevSecOps Expert
### 🚀 Lộ trình thăng tiến
```
Junior DevOps (2-3 năm)
↓
Mid DevOps/SecOps (3-5 năm)
↓
Senior DevSecOps (5-7 năm)
↓
Expert/Lead DevSecOps ← [VỊ TRÍ NÀY]
↓
DevSecOps Manager
↓
Head of Platform/DevOps
↓
VP/Director of Engineering
```
### 💰 Mức lương kỳ vọng
| Cấp bậc | Kinh nghiệm | Lương tháng (VND) |
|---------|-------------|-------------------|
| Mid DevOps | 3-5 năm | 25-40 triệu |
| Senior DevSecOps | 5-7 năm | 40-70 triệu |
| Expert/Lead | 7+ năm | 70-120 triệu |
| Manager | 8-10 năm | 100-150 triệu |
Techcombank thường competitive với thị trường fintech. Với vị trí Expert:
- Base salary: 70-100 triệu VND/tháng
- Bonus: 2-4 tháng
- Total: 840 triệu - 1.4 tỷ/năm
- Thêm: stock options, health insurance premium
### 📈 Kỹ năng cần phát triển thêm
Ngắn hạn (6-12 tháng):
- Deep dive vào Cloud security (AWS Security Specialty)
- Learn Kubernetes security (CKS)
- Improve presentation skills
Trung hạn (1-2 năm):
- Leadership & people management
- Strategic thinking & stakeholder management
- Budget planning & resource allocation
Dài hạn (3-5 năm):
- Architecture decision making
- Team building & hiring
- Industry thought leadership
### 🎯 DevSecOps vs truyền thống DevOps
| Aspect | DevOps | DevSecOps |
|--------|--------|----------|
| Focus | Speed + Quality | Speed + Quality + Security |
| Security | End of pipeline | Embedded throughout |
| Tooling | CI/CD + Monitoring | + SAST, DAST, SCA, CSPM |
| Culture | Dev + Ops collaboration | Dev + Ops + Security |
### 🏦 Tại sao chọn Techcombank?
Pros:
- Ngân hàng TMCP lớn, đầu tư mạnh vào tech
- Culture hiện đại, nhiều startup vibe
- Cơ hội làm việc với hệ thống scale lớn
- Competitive salary & benefits
Cons:
- Áp lực chuyển đổi số cao
- Legacy systems vẫn còn
- Stakeholder complexity trong ngành ngân hàng
### 🔄 Chuyển từ DevOps sang DevSecOps
Nếu bạn đang là DevOps muốn chuyển:
1. Học về AppSec fundamentals (OWASP Top 10)
2. Tích hợp security tools vào pipeline hiện tại
3. Tham gia security incidents
4. Lấy chứng chỉ security (AWS Security Specialty)
5. Tham gia AppSec community
### 📊 Key Metrics để track progression
- Deployment Frequency
- Lead Time for Changes
- Mean Time to Recovery (MTTR)
- Change Failure Rate
- Security vulnerabilities remediated time
Câu hỏi thường gặp
Theo JD, bạn cần tối thiểu 7 năm kinh nghiệm trong software development và 2 năm kinh nghiệm setup DevSecOps. Đây là vị trí cấp senior/lead, nên kinh nghiệm thực tế xây dựng CDP và security pipeline là bắt buộc.
DevSecOps tích hợp security xuyên suốt SDLC thay vì đặt ở cuối pipeline. Ngành ngân hàng cần DevSecOps vì: (1) Regulatory compliance nghiêm ngặt (2) Protection of sensitive financial data (3) Prevent breaches that cost millions (4) Faster secure releases trong cuộc đua digital transformation.
JD ghi 'Thỏa thuận' nhưng với vị trí Expert và yêu cầu 7+ năm kinh nghiệm, mức lương thường từ 70-120 triệu VND/tháng, bonus 2-4 tháng. Techcombank competitive với thị trường fintech/ngân hàng số. Bạn nên đề xuất based on current salary + expectations.
Techcombank yêu cầu 'Experience working with cloud environments is a must'. Bạn cần thành thạo ít nhất một cloud platform (AWS/GCP/Azure) ở mức professional. Nên có chứng chỉ như AWS Solutions Architect Professional hoặc Azure DevOps Engineer Expert. Ngoài ra cần biết về cloud security services.
Focus vào: (1) Thiết kế secure CI/CD pipeline từ đầu (2) Giải thích cách integrate SAST/DAST/SCA vào pipeline (3) Threat modeling process (4) Handle false positives trong security scanning (5) DORA metrics improvement stories. Chuẩn bị hands-on coding Python/Bash và IaC (Terraform).
5 bước: (1) Học AppSec fundamentals - OWASP Top 10 là bắt buộc (2) Integrate security tools (Snyk, SonarQube) vào pipeline hiện tại (3) Tham gia xử lý security incidents (4) Lấy chứng chỉ như AWS Security Specialty hoặc CKS (5) Network với AppSec/DevSecOps community.
Typical day bao gồm: Review security alerts từ monitoring, Optimize CDP để giảm thời gian deploy, Coach team về secure coding practices, Collaborate với Dev teams để fix vulnerabilities, Incident response nếu có security issues, Measure và report DORA metrics, Plan cho releases tiếp theo.
JD đề cập: RE protection, SSL pinning, payload encryption, Code quality tools, Source code analysis, SAST/DAST tools. Cụ thể cần biết: SonarQube (code quality/SAST), Snyk/Dependabot (SCA), OWASP ZAP (DAST), Falco (runtime security). Nên có hands-on experience với ít nhất 2-3 tools trong mỗi category.
Chia sẻ từ cộng đồng
Vừa phỏng vấn vòng technical tuần trước. Hỏi rất sâu về security integration vào CI/CD, cách xử lý false positives, và yêu cầu design một secure pipeline từ đầu. Chuẩn bị kỹ về SAST/DAST tools nhé.
Techcombank đã offer mình vị trí DevSecOps tương tự cách đây 6 tháng. Mức lương khá competitive so với các ngân hàng khác, nhưng quy trình phỏng vấn kéo dài gần 2 tháng. Kiên nhẫn nhé các bạn.
HR dễ thương, nhưng vòng technical requires deep knowledge. Đặc biệt hỏi nhiều về cloud security và Kubernetes security. Nếu chưa có cert nào thì nên lấy AWS Security Specialty hoặc CKS trước.
Làm ở Techcombank được 1 năm rồi, culture khá tốt, không strict như ngân hàng nhà nước. DevOps team size vừa phải, được train nhiều về cloud. Tech stack hiện đại, không có legacy như mình nghĩ.
Lưu ý: JD yêu cầu 'minimum 2 years of experience in DevSecOps setup' - không phải chỉ là working in DevOps environment đâu. Họ thực sự muốn người đã xây dựng/setup DevSecOps practice từ đầu. Chuẩn bị story về journey đó.
Mình apply position tương tự ở Techcombank hồi tháng 8 nhưng không pass vòng panel vì chưa có experience lead team. Đợt này họ tuyển Expert nên yêu cầu leadership skill cao hơn. Focus vào team management experience nhé.
Đang ở vị trí Senior DevOps, đang consider apply. Ai đang làm ở Techcombank cho hỏi workload như nào? Có overtime nhiều không?
Ứng tuyển ngay
Ứng tuyển trên website gốcBạn sẽ được chuyển đến trang tuyển dụng chính thức của Techcombank
Chuyên môn / Từ khoá
Mất kết nối mạng
Đang thử kết nối lại
Đã xảy ra lỗi!
Vui lòng chờ trong giây lát