Senior Application Security

Como o time INFOSEC constrói a Loft: 

O time de INFOSEC garante a segurança dos ambientes em nuvem da Loft, com foco em AWS e suporte a GCP. Atuamos desde a concepção de arquiteturas seguras até a automação de controles e resposta a incidentes com uso de Inteligência Artificial.

Nossa missão é proteger os ativos da companhia e viabilizar a inovação com segurança. Contribuímos com a esteira DevSecOps, promovemos o desenvolvimento seguro e evoluímos soluções como WAF, SIEM e CSPM para fortalecer nossa defesa.

Os desafios que você vai encontrar: 

• Atuar como referência técnica em segurança de aplicações, promovendo práticas de desenvolvimento seguro (Secure Coding) junto aos times de produto e engenharia;

• Participar ativamente do ciclo de desenvolvimento seguro (SSDLC), com foco em integração de segurança desde o início (shift-left);

• Contribuir para a evolução da esteira DevSecOps, com foco na integração e automação de ferramentas SAST, DAST, SCA, e gerenciamento de vulnerabilidades como Defecdojo;

• Planejar e conduzir modelagem de ameaças em novos produtos e funcionalidades, com foco em identificação e mitigação de riscos de segurança;

• Realizar revisões de código seguras e apoiar os desenvolvedores com guidelines, treinamentos e boas práticas;

• Liderar iniciativas de gestão de vulnerabilidades em aplicações, garantindo identificação, priorização e correção junto aos times de engenharia;

• Apoiar o desenvolvimento e manutenção de automações de segurança em pipelines CI/CD (ex: GitHub Actions), garantindo segurança contínua nas entregas;

• Trabalhar com times de produto, engenharia e arquitetura para garantir a aderência a padrões de segurança e conformidade regulatória;

• Investigar e apoiar a resposta a incidentes relacionados a aplicações, participando de war rooms e análises técnicas;

• Disseminar cultura de segurança em toda a organização.

O que você precisa para virar a chave?

Obrigatórios

• Experiência sólida em segurança de aplicações web e APIs (mínimo de 5 anos);

• Domínio do OWASP Top 10, CWE/SANS 25 e técnicas de mitigação de vulnerabilidades;

• Experiência com ferramentas SAST, DAST e SCA, incluindo integração em pipelines CI/CD (preferência para GitHub Actions);

• Experiência em modelagem de ameaça e análise de risco de aplicações;

• Vivência com revisão de código seguro e suporte a times de desenvolvimento;

• Conhecimento em linguagens como JavaScript, Java, Go ou Python;

• Experiência com gerenciamento de vulnerabilidades e ferramentas como Dependabot, DefectDojo, Dependency-Track ou similares.

Desejáveis

• Experiência com segurança em aplicações serverless, microsserviços e containers.

• Conhecimento em autenticação/autorização (OAuth2, OIDC, JWT) e segurança de APIs REST/GraphQL.

• Certificações relevantes como OSCP, DCPT ou similares.

• Experiência com ferramentas de segurança aplicadas ao ciclo de vida de desenvolvimento como GitHub Advanced Security ou GitLab Ultimate.

• Conhecimento prático em frameworks como NIST SSDF, OWASP ASVS e MITRE ATT&CK. 
• Inglês técnico (leitura e escrita).

Informações adicionais

💳Caju - Mais liberdade para usar seus benefícios (Refeição, Alimentação, Mobilidade, Saúde, Home Office, Cultura e Educação);

🏥Assistência Médica - Sulamerica

🪥Assistência Odontológica - Sulamerica

🦺Seguro de Vida - Prudential

🏋️WellHub - Acesso a academias no Brasil inteiro

 🧘Wellz- Plataforma de Saúde Mental

📚Linkedin Learning - Plataforma de educação para potencializar o desenvolvimento

🏝️Férias Flexíveis - Tire suas férias a qualquer momento

😴Day Off

👪Licença Parental - para pais e mães

🐕Guapeco - Plano de Saúde Pet com desconto

🖥️Trabalho - Remoto