Application Security Expert
T-Mobile
Rola skupia się na integracji bezpieczeństwa w cyklu życia oprogramowania w dużej organizacji telekomunikacyjnej. Będziesz analizować kod źródłowy, przeprowadzać modelowanie zagrożeń i przeglądy architektury, tworzyć standardy i wytyczne bezpieczeństwa oraz budować frameworki i biblioteki zapewniające bezpieczeństwo domyślnie. Współpracujesz z zespołami developerskimi i CI/CD, automatyzując kontrole bezpieczeństwa. To nie jest rola developerska, ale wymaga solidnego backgroundu programistycznego.
Brak jawnych widełek — wynagrodzenie do ustalenia podczas rekrutacji.
Brakuje: nie podano wielkości zespołu application security, brak opisu procesu rekrutacyjnego.
Rola skupia się na integracji bezpieczeństwa w cyklu życia oprogramowania w dużej organizacji telekomunikacyjnej. Będziesz analizować kod źródłowy, przeprowadzać modelowanie zagrożeń i przeglądy architektury, tworzyć standardy i wytyczne bezpieczeństwa oraz budować frameworki i biblioteki zapewniające bezpieczeństwo domyślnie. Współpracujesz z zespołami developerskimi i CI/CD, automatyzując kontrole bezpieczeństwa. To nie jest rola developerska, ale wymaga solidnego backgroundu programistycznego.
- ✓Praca w dużej, stabilnej firmie telekomunikacyjnej z rozbudowanym ekosystemem IT
- ✓Silny nacisk na automatyzację i budowanie frameworków security by default
- ✓Możliwość realnego wpływu na bezpieczeństwo wielu aplikacji i systemów
- ✓Współpraca z zespołami CI/CD i developerskimi – interdyscyplinarne środowisko
- !Brak informacji o konkretnych narzędziach SAST/DAST używanych w firmie
- !Brak opisu procesu rekrutacyjnego i liczby etapów
- ?Brak jawnych widełek — wynagrodzenie do ustalenia podczas rekrutacji
- •Przegląd kodu źródłowego pod kątem podatności (SAST) i analiza wyników automatycznych testów bezpieczeństwa
- •Przeprowadzanie sesji modelowania zagrożeń (threat modeling) dla nowych i istniejących funkcjonalności
- •Projektowanie i implementacja automatyzacji kontroli bezpieczeństwa w pipeline CI/CD
- •Tworzenie i aktualizacja standardów i wytycznych bezpieczeństwa aplikacji (np. secure coding guidelines)
- •Współpraca z zespołami deweloperskimi przy architekturze rozwiązań on-prem i cloud (AWS)
- •Budowa frameworków i bibliotek zapewniających bezpieczeństwo domyślnie (security by default)
- •Weryfikacja architektury oprogramowania pod kątem luk bezpieczeństwa – zarówno w chmurze, jak i lokalnie
Oferta dla doświadczonych specjalistów (Senior).
Specjalista ds. bezpieczeństwa aplikacji z co najmniej 4-letnim doświadczeniem w appsec i programowaniu, znający OWASP Top 10, podstawy chmury (najlepiej AWS) i Kubernetes, gotowy do samodzielnego prowadzenia przeglądów architektury i tworzenia standardów.
Osoby z mniej niż 4 latami doświadczenia w Application Security lub programowaniu. Juniorzy lub midzi bez silnej wiedzy o bezpieczeństwie aplikacji i chmurze nie będą odpowiedni.
- ?Jaki jest skład zespołu Application Security – ile osób i jakie role?
- ?Jakie narzędzia SAST/DAST/SCA są obecnie używane w firmie?
- ?Ile dni w tygodniu/miesiącu wymagana jest obecność w biurze w Warszawie?
- ?Czy istnieje system dyżurów on-call? Jak często?
- ?Jak wygląda proces wdrażania znalezionych podatności – od zgłoszenia do naprawy?
- ?Czy firma wspiera zdobywanie certyfikatów (np. CISSP, CEH, AWS Security)?
- ?Jaki jest główny stack technologiczny w CI/CD? (np. Jenkins, GitLab CI, itp.)
- ?Czy w ramach roli jest przewidziane prowadzenie szkoleń dla deweloperów?
- −Nie podano wielkości zespołu Application Security
- −Brak opisu procesu rekrutacyjnego
- −Nie wiadomo, czy są dyżury on-call
- −Brak informacji o budżecie szkoleniowym lub certyfikacyjnym
- −Nie określono konkretnych narzędzi bezpieczeństwa (np. SAST/DAST) używanych w firmie
Prawdopodobnie zespół o charakterze eksperckim, skoncentrowany na bezpieczeństwie, współpracujący z wieloma działami. Kultura oparta na automatyzacji i proaktywnym podejściu do zabezpieczeń.