Especialista em Segurança de Aplicações (DevSecOps)

Estamos em busca de um Especialista em Segurança de Aplicações (DevSecOps) que atue como ponte entre segurança e desenvolvimento, com forte capacidade técnica, excelente relacionamento interpessoal e foco em execução. Para atuar de forma mão na massa na avaliação de segurança de aplicações, apoiando os times de desenvolvimento no levantamento de riscos, estimativas de esforço, planejamento e implementação das correções, além de contribuir para a evolução dos processos, diretrizes e práticas de desenvolvimento seguro, alinhadas a normas como ISO 27001 e ISO 27701.

Principais responsabilidades:

• Avaliar aplicações novas e legadas, considerando: Arquitetura, Tecnologias utilizadas,  Exposição a riscos, Aderência a boas práticas de desenvolvimento seguro
• Conduzir, junto às equipes de desenvolvimento: Levantamento de vulnerabilidades, Análise de impacto e risco, Estimativa de esforço para correções, Planejamento técnico das adequações
• Atuar de forma ativa e colaborativa com times que utilizam: Linguagens como Java, Node.js, C, C++, Python, Go, PL/SQL; Frameworks como Struts, JSF, PrimeFaces, Spring, Next.js, Angular, entre outros
• Implementar e evoluir práticas de DevSecOps, incluindo: Uso e integração de ferramentas SAST, DAST, SCA e Secret Scanning, Apoio à automação de controles de segurança em pipelines CI/CD
• Apoiar a definição e escrita de: Diretrizes de desenvolvimento seguro, Padrões técnicos, Processos internos relacionados à segurança de aplicações
• Atuar como agente educador, apoiando os desenvolvedores na: Compreensão dos riscos, Aplicação prática de correções seguras, Evolução da maturidade de segurança dos times
• Garantir alinhamento das práticas com normas e controles de segurança, especialmente ISO 27001 e ISO 27701

Perfil esperado:

•  Excelente capacidade de comunicação e relacionamento
• Postura colaborativa e orientada a ajudar os times, não apenas apontar falhas
• Visão pragmática para lidar com sistemas legados
• Capacidade de traduzir conceitos de segurança em ações práticas de desenvolvimento
• Organização para lidar com múltiplas aplicações e prioridades

Requisitos técnicos:

• Experiência sólida em Segurança de Aplicações
• Experiência com segurança em ambientes cloud (AWS, Azure ou GCP)
• Conhecimento em práticas de runtime security e observabilidade
• Experiência com testes de segurança (pentest, fuzzing, análise manual)
• Definição de métricas de segurança (KPIs/KRIs)
• Evolução de maturidade (AppSec program, SSDLC)
• Vivência prática em DevSecOps
• Conhecimento em: OWASP Top 10, Secure Coding Practices, Threat Modeling, Análise de vulnerabilidades
• Experiência com ferramentas de segurança em esteiras CI/CD
• Conhecimento de ambientes com múltiplas linguagens e frameworks

#VempraClear