Code Security Engineer | f/m/d
ERGO Technology & Services
Rola polega na przeprowadzaniu przeglądów bezpieczeństwa kodu aplikacji webowych, mobilnych i backendowych, identyfikacji podatności zgodnie z OWASP Top 10, SANS i CWE, oraz walidacji wyników SAST. Będziesz współpracować z zespołami developerskimi, dostarczając rekomendacje naprawcze i uczestnicząc w modelowaniu zagrożeń. To rola specjalisty ds. bezpieczeństwa aplikacji, nie programisty — głównym zadaniem jest analiza kodu i doradztwo, a nie pisanie go.
Brak jawnych widełek — wynagrodzenie do ustalenia podczas rekrutacji.
Brakuje: nie podano wielkości zespołu, brak opisu procesu rekrutacyjnego.
Rola polega na przeprowadzaniu przeglądów bezpieczeństwa kodu aplikacji webowych, mobilnych i backendowych, identyfikacji podatności zgodnie z OWASP Top 10, SANS i CWE, oraz walidacji wyników SAST. Będziesz współpracować z zespołami developerskimi, dostarczając rekomendacje naprawcze i uczestnicząc w modelowaniu zagrożeń. To rola specjalisty ds. bezpieczeństwa aplikacji, nie programisty — głównym zadaniem jest analiza kodu i doradztwo, a nie pisanie go.
- ✓Praca w dużej, stabilnej organizacji ubezpieczeniowej (ERGO/Munich Re)
- ✓Rola w dedykowanym zespole Security Testing
- ✓Możliwość kontaktu z różnymi językami i technologiami
- ✓Wsparcie rozwoju poprzez szkolenia, hackathony i platformy e-learningowe
- !Nie określono liczby dni pracy hybrydowej tygodniowo
- !Poziom 'regular' może być niejasny — sprawdź, czy wymagany jest wyższy poziom
- ?Brak jawnych widełek — wynagrodzenie do ustalenia podczas rekrutacji
- •Przeprowadzanie przeglądów bezpieczeństwa kodu dla aplikacji web, mobile i backend
- •Identyfikacja podatności zgodnie z OWASP Top 10, SANS i CWE
- •Analiza i przegląd kodu w językach Java, JavaScript, Python, C/C++, SQL, Swift i podobnych
- •Przeglądanie pull requestów i pipeline'ów CI/CD pod kątem wczesnego wykrywania problemów
- •Walidacja i triaż wyników SAST, redukcja fałszywych pozytywów i priorytetyzacja realnych ryzyk
- •Dostarczanie jasnych, wykonalnych rekomendacji naprawczych z przykładami bezpiecznego kodu
- •Uczestnictwo w modelowaniu zagrożeń i identyfikacja ryzyk na poziomie architektury
- •Współpraca z zespołami deweloperskimi, QA i release w cyklu wytwarzania
Oferta skierowana do developerów z doświadczeniem komercyjnym (Mid).
Osoba z 2 latami doświadczenia w podobnej roli, podstawową znajomością SAST, zdolna do czytania kodu w przynajmniej dwóch językach i rozumiejąca Secure SDLC.
Nie dla juniorów bez doświadczenia w security code review (wymagane min. 2 lata). Nie dla programistów, którzy chcą głównie pisać kod — rola koncentruje się na analizie i doradztwie.
- ?Ile osób liczy zespół Security Testing?
- ?Z jakich konkretnie narzędzi SAST korzystamy na co dzień?
- ?Czy istnieje system dyżurów on-call?
- ?Jak często odbywają się sesje threat model?
- ?Czy istnieje budżet szkoleniowy na certyfikacje (np. CSSLP, GWEB)?
- ?Jaki jest typowy cykl życia podatności — od zgłoszenia do zamknięcia?
- −Nie podano wielkości zespołu
- −Brak opisu procesu rekrutacyjnego
- −Nie wiadomo, czy istnieją dyżury on-call
- −Nie określono konkretnych narzędzi SAST używanych w firmie (tylko przykłady)
- −Nie podano ścieżki rozwoju ani możliwości awansu
Zespół Security Testing pracuje w środowisku międzynarodowym, wspiera rozwój bezpiecznego oprogramowania i promuje kulturę dzielenia się wiedzą poprzez hackathony i meetupy. Firma oferuje elastyczność i przyjazne biuro z gaming room i możliwością przyprowadzania psa.