DevSecOps Engineer

CI/CD Pipeline & Automation

• Thiết kế và duy trì pipeline CI/CD hoàn chỉnh: build → test → SAST/DAST scan → staging deploy → production deploy với approval gate.
• Tích hợp automated testing (unit, integration, smoke test) vào pipeline, block merge nếu fail.
• GitOps workflow: ArgoCD hoặc Flux cho continuous deployment trên Kubernetes.
• Quản lý secret và config: HashiCorp Vault hoặc AWS Secrets Manager - không để secret trong code hay environment file của repo.

Infrastructure & Cloud

• Provisioning và quản lý hạ tầng bằng Terraform (Infrastructure as Code) - mọi thứ phải reproducible.
• Kubernetes: thiết kế cluster, namespace isolation, resource quota, HPA/VPA, network policy.
• Thiết lập môi trường: development, staging, production với data isolation nghiêm ngặt (không dùng prod data ở staging).
• Disaster Recovery: RTO < 1 giờ, RPO < 15 phút cho database PostgreSQL. Setup backup tự động và test restore định kỳ.
• Cost optimization: right-sizing, spot/preemptible instance cho non-prod, reserved instance cho prod.

Security - Shift Left

• Tích hợp SAST vào CI: SonarQube hoặc Semgrep - scan code trước khi merge.
• DAST và penetration test định kỳ: OWASP ZAP, Burp Suite cho API Amio.
• Dependency scanning: Snyk hoặc Trivy - alert khi có CVE nghiêm trọng trong thư viện.
• Container security: scan Docker image trước khi push, không chạy container với root user.
• WAF, DDoS protection, API rate limiting ở tầng infrastructure (không phó mặc hoàn toàn cho app).
• Audit log hạ tầng: mọi action trên cloud console, kubectl, database đều phải có trail.

Monitoring & Observability

• Thiết lập stack monitoring: Prometheus + Grafana cho metrics, ELK / Loki cho log, Jaeger/Tempo cho distributed tracing.
• Alert có ý nghĩa: phân biệt warning vs critical, on-call rotation, không alert noise.
• SLO/SLI cho các service core: API latency P99, error rate, uptime - dashboard real-time cho CTO và team.
• Incident response playbook: runbook cho các sự cố phổ biến (DB overload, Kafka lag, memory leak).

Compliance & Hardening

• Chuẩn bị cho yêu cầu bảo mật Thông tư 09/2020/TT-NHNN và các quy định liên quan đến bảo vệ dữ liệu người dùng Fintech.
• Network hardening: VPC, private subnet cho database/Kafka/Redis, bastion host, không expose service nội bộ ra internet.
• Mã hóa: TLS 1.2+ cho mọi kết nối, encryption at rest cho database và storage.
• Regular security review với development team, không phải chỉ một lần khi ra mắt.