Application Security Engineer (M/K)

Poszukujemy Specjalistki lub Specjalisty ds. bezpieczeństwa aplikacji, która/y aktywnie śledzi najnowsze trendy i zagrożenia w branży IT. Osoba na tym stanowisku będzie odpowiadać za budowanie i rozwój podejścia Secure Software Development Lifecycle (S‑SDLC) oraz za praktyczne wdrażanie bezpieczeństwa do procesu wytwarzania oprogramowania. W centrum pracy będzie analiza, identyfikacja, priorytetyzacja i zarządzanie podatnościami w aplikacjach webowych i mobilnych oraz skanowanie kodu, zależności i środowisk. Kluczowe obowiązki obejmują zarządzanie kontrolą bezpieczeństwa z CI/CD (bramki jakości, polityki, automatyzacja), triage i interpretację wyników dla zespołów wytwórczych, a także współpracę z zespołami developerskimi i DevOps w celu skutecznego usuwania podatności oraz zapobiegania ich ponownemu występowaniu. Do zadań należeć będzie również tworzenie i aktualizacja rekomendacji, procedur oraz najlepszych praktyk secure coding, a także wspieranie zespołów w implementacji bezpiecznych rozwiązań. 

Twój zakres obowiązków 

• analiza, identyfikacja oraz zarządzanie podatnościami w aplikacjach webowych i mobilnych, w tym regularne skanowanie kodu i środowisk pod kątem luk bezpieczeństwa, 

• ochrona aplikacji przed atakami, takimi jak XSS, SQL Injection, czy innymi zagrożeniami opisanymi w OWASP Top 10,

• wdrażanie oraz doskonalenie procesów Secure Software Development Lifecycle (S-SDLC), współpraca z zespołami developerskimi i DevOps,

• spotkania z zespołami wytwórczymi oraz administratorskimi, mające na celu nadanie priorytetu usuwaniu podatności w aplikacjach oraz wsparcie w implementacji bezpiecznych rozwiązań,

• tworzenie i aktualizacja rekomendacji, procedur oraz najlepszych praktyk bezpieczeństwa dla developerów, DevOpsów i innych osób technicznych,

• codzienna praca w złożonym środowisku technologicznym, obejmującym zarówno IT, jak i OT (ICS), z naciskiem na bezpieczeństwo aplikacji i ich integrację z innymi systemami, 

• stack technologiczny, z jakim przyjdzie Ci pracować to m.in. C# / .NET, Terraform, Python, Vue.js, Cypress / Playwright i inne.

Nasze wymagania 

• doświadczenie w analizie bezpieczeństwa aplikacji, w tym znajomość takich jak np. Burp Suite, OWASP ZAP, Snyk, SonarCloud, Checkmarx, Acunetix,

• zrozumienie zagadnień związanych z testami penetracyjnymi,

• znajomość i praktyczne doświadczenie z OWASP Top 10 oraz innymi standardami branżowymi dotyczącymi bezpieczeństwa aplikacji, 

• znajomość procesów S-SDLC oraz doświadczenie we wdrażaniu bezpieczeństwa na każdym etapie cyklu życia oprogramowania,

• umiejętność wyjaśniania zagadnień technicznych i problemów bezpieczeństwa oraz prowadzenia spotkań edukacyjnych, 

• dobra znajomość języka angielskiego,

• inicjatywa, proaktywność oraz zdolność do „łączenia kropek”,

• doświadczenie po stronie Red Team/Purple Team. 

Mile widziane

• certyfikaty z zakresu bezpieczeństwa aplikacji, takie jak: OWASP Certified Web Application Defender (OWASP CWAD), GIAC Web Application Penetration Tester (GWAPT), Certified Application Security Engineer (CASE), CompTIA Security+, CompTIA CySA+, CSSLP, SSCP,

• inne certyfikaty produktowe związane z bezpieczeństwem aplikacji i systemów. 

To oferujemy

• umowę o pracę,
• możliwość uczestnictwa w konferencjach Tribes,
• przestrzeń do eksperymentowania,
• współpracę opartą na wartościach - jesteśmy zespołem, który kieruje się określonymi wartościami. Wspieramy atmosferę pracy opartą na szacunku, zaufaniu i współpracy. Promujemy innowacyjność, kreatywność i odpowiedzialność,
• możliwości rozwoju - wierzymy w nieustanne doskonalenie i chcemy pomagać naszym pracownikom w rozwoju potencjału (oferujemy szkolenia wewnętrzne i zewnętrzne, warsztaty, szkolenia e-learningowe, programy rozwojowe, oraz możliwość uczestniczenia w rekrutacjach wewnętrznych),
• przyjazną atmosferę, zarówno w pracy jak i w Game Room,
• catering w biurze,
• wsparcie merytoryczne od liderów technologicznych,
• sprawdź co jeszcze czeka na Ciebie w Rossmannie: www.kariera.rossmann.pl/benefity.