Code Security Engineer | f/m/d
ERGO Technology & Services
Rola polega na zapewnieniu bezpieczeństwa kodu aplikacji poprzez recenzowanie kodu, analizę SAST i wsparcie DevSecOps. Będziesz pracować w zespole Security Testing, współpracując z zespołami deweloperskimi nad identyfikacją podatności (OWASP, CWE) i dostarczaniem rekomendacji. To rola typowo analityczno-inżynierska, bez odpowiedzialności za zarządzanie.
Brak jawnych widełek — wynagrodzenie do ustalenia podczas rekrutacji.
Brakuje: brak informacji o wielkości zespołu, brak opisu procesu rekrutacyjnego.
Rola polega na zapewnieniu bezpieczeństwa kodu aplikacji poprzez recenzowanie kodu, analizę SAST i wsparcie DevSecOps. Będziesz pracować w zespole Security Testing, współpracując z zespołami deweloperskimi nad identyfikacją podatności (OWASP, CWE) i dostarczaniem rekomendacji. To rola typowo analityczno-inżynierska, bez odpowiedzialności za zarządzanie.
- ✓Biuro przyjazne psom w Warszawie
- ✓Pokój gier i kino w biurze
- ✓Organizowane hackathony i meetupy wewnętrzne
- ✓Program wsparcia dla pracowników (EAP)
- ✓Różnorodne aktywności team-buildingowe (wyścigi rowerowe, mecze piłki nożnej)
- !Hybrydowy model pracy bez określenia liczby dni w biurze
- !Szeroki zakres języków programowania – może wymagać szybkiego uczenia się
- !Brak informacji o wielkości zespołu i raportowaniu
- ?Brak jawnych widełek — wynagrodzenie do ustalenia podczas rekrutacji
- •Przeprowadzanie recenzji bezpieczeństwa kodu dla aplikacji webowych, mobilnych i backendowych
- •Analiza luk w zabezpieczeniach według standardów OWASP Top 10, SANS i CWE
- •Przegląd pull requestów i pipe'ów CI/CD pod kątem problemów bezpieczeństwa
- •Walidacja i triage wyników SAST (Checkmarx, Fortify) – redukcja fałszywych pozytywów
- •Tworzenie rekomendacji naprawczych z przykładami bezpiecznego kodu
- •Uczestnictwo w modelowaniu zagrożeń (threat modeling) i identyfikacja ryzyk na poziomie designu
- •Współpraca z zespołami developerskimi, QA i release w cyklu wytwarzania
- •Śledzenie podatności przez cały cykl życia do momentu remediacji
Oferta skierowana do developerów z doświadczeniem komercyjnym (Mid).
Inżynier z co najmniej 2 latami doświadczenia w recenzji bezpieczeństwa kodu, który ma praktykę z SAST i CI/CD, ale może nie znać wszystkich języków z listy.
Osoby bez doświadczenia w code security lub z mniej niż 2 latami w tej dziedzinie; juniorzy bez solidnych podstaw.
- ?Ile osób liczy zespół Security Testing?
- ?Jak często przeprowadzane są recenzje kodu – czy to codzienna praca, czy raczej cykliczne audyty?
- ?Czy istnieje rotacja między zespołami deweloperskimi, czy jesteśmy przypisani do konkretnych projektów?
- ?Jakie konkretnie narzędzia CI/CD są używane w firmie?
- ?Czy przewidziane są dyżury on-call lub udział w incident response?
- ?Jak wygląda proces weryfikacji fałszywych pozytywów – czy to nasze zadanie, czy deweloperów?
- ?Czy istnieje możliwość pracy zdalnej, czy model hybrydowy wymaga określonej liczby dni w biurze?
- ?Jakie są plany rozwoju dla tej roli – czy jest ścieżka do senior security engineer?
- −Brak informacji o wielkości zespołu
- −Brak opisu procesu rekrutacyjnego
- −Nie wiadomo, czy rola jest przypisana do konkretnego projektu, czy rotacyjna
- −Nie podano konkretnych narzędzi CI/CD używanych w firmie
Multikulturowe środowisko z naciskiem na różnorodność, współpracę i wewnętrzne inicjatywy (sportowe, integracyjne).