Penetration Tester
Andersen
Rola łączy tradycyjny penetration testing z szerszym zakresem Application Security i DevSecOps. Będziesz nie tylko testować aplikacje i infrastrukturę, ale też zarządzać programem bezpieczeństwa aplikacji (SSDLC, bug bounty), integrować narzędzia SAST/DAST, przeglądać kod IaC i konfiguracje CI/CD oraz wspierać pre-sales. Pracujesz w międzynarodowym software housie dla klientów enterprise z różnych branż.
Brakuje: nie podano wielkości zespołu appsec ani struktury hierarchicznej, brak informacji o procesie rekrutacyjnym (liczba etapów, zadanie domowe itp.).
Rola łączy tradycyjny penetration testing z szerszym zakresem Application Security i DevSecOps. Będziesz nie tylko testować aplikacje i infrastrukturę, ale też zarządzać programem bezpieczeństwa aplikacji (SSDLC, bug bounty), integrować narzędzia SAST/DAST, przeglądać kod IaC i konfiguracje CI/CD oraz wspierać pre-sales. Pracujesz w międzynarodowym software housie dla klientów enterprise z różnych branż.
- ✓Dostęp do platform edukacyjnych i szkoleń, wsparcie mentoringu
- ✓Współpraca z dużymi markami (Siemens, Johnson&Johnson, AstraZeneca itp.)
- ✓Firma przed IPO – potencjalna możliwość udziałów (choć nie wymienione wprost)
- ✓Przejrzyste ścieżki rozwoju i system ocen okresowych
- ✓Stabilność finansowa (wzrost 60-100% rocznie)
- !Szeroki zakres obowiązków – pentesting, AppSec, DevSecOps, pre-sales – może oznaczać rozmycie roli i potrzebę bycia 'jack-of-all-trades'
- !Wspomniane 'shadowing senior testers' sugeruje, że początek może być bardziej asystencki, mimo poziomu regular
- !Obowiązki pre-salesowe i warsztaty z klientami mogą być czasochłonne i frustrujące dla osób czysto technicznych
- •Przeprowadzanie testów penetracyjnych aplikacji webowych i infrastruktury
- •Zarządzanie programem bezpieczeństwa aplikacji (SSDLC) i wewnętrznym bug bounty
- •Przegląd kodu IaC (Terraform, Ansible) pod kątem błędów bezpieczeństwa
- •Integracja i konfiguracja narzędzi SAST/DAST (CodeQL, SonarQube, Burp Enterprise)
- •Zabezpieczanie infrastruktury chmurowej (AWS/Azure) i Kubernetes
- •Przeprowadzanie audytów bezpieczeństwa urządzeń sieciowych i hardening serwerów Linux/Windows
- •Udział w spotkaniach przed-sprzedażowych i warsztatach z klientami
- •Przygotowywanie raportów technicznych i rekomendacji dla developerów
Oferta skierowana do developerów z doświadczeniem komercyjnym (Mid).
Inżynier bezpieczeństwa z około 2 latami praktycznego pentestingu aplikacji webowych, podstawową znajomością chmury (AWS/Azure) i chęcią nauki szerszego zakresu AppSec/DevSecOps.
Osoby z mniej niż 2 latami doświadczenia w pentestingu (junior), które szukają wyłącznie klasycznej roli pentestera bez elementów programów bezpieczeństwa, pre-sales czy DevSecOps. Rola wymaga również samodzielności i komunikacji z klientem.
- ?Ile osób liczy zespół Application Security i jak jest zorganizowany?
- ?Jaki procent czasu poświęcamy na testy penetracyjne vs inne obowiązki (SSDLC, pre-sales)?
- ?Czy jest dyżur on-call lub oczekuje się gotowości poza standardowymi godzinami?
- ?Jak wygląda proces wdrożenia – od razu samodzielne zadania czy z shadowingiem?
- ?Z jakimi konkretnymi klientami/projektami będę pracować na początku?
- ?Czy narzędzia SAST/DAST są już zintegrowane, czy trzeba je od podstaw wdrażać?
- ?Jaka jest polityka dotycząca certyfikacji – czy firma opłaca egzaminy (np. OSCP)?
- −Nie podano wielkości zespołu AppSec ani struktury hierarchicznej
- −Brak informacji o procesie rekrutacyjnym (liczba etapów, zadanie domowe itp.)
- −Brak informacji o budżecie szkoleniowym lub konferencyjnym
Opis mówi o 'cool young team of like-minded people communicating informally' – atmosfera luźna, ale z profesjonalnym podejściem.