Descrição da vaga
Prazer, Grupo SBF
Para nós, esporte é mais que só a prática: é movimento. Ele tem o poder de mover as pessoas pelo exercício, pela paixão pelo time do coração, pela diversão de uma aula de dança, pela força de marcas icônicas. Por vermos a potência do esporte em todas as suas expressões, trabalhamos juntos com garra e energia para construir o primeiro ecossistema de esporte do mundo, reunindo diversas possibilidades para que as pessoas sejam envolvidas e impactadas pelo poder de se movimentar.
Quando você pensar em esporte, pode ter certeza: o Grupo SBF estará ali. Seja por meio das lojas e do e-commerce da Centauro, a maior varejista esportiva multimarcas da América Latina; da Fisia, distribuidora oficial da Nike no Brasil, da FitDance e da OneFan, aqui o movimento não para. Praticante ou entusiasta, fã ou apaixonado: o Grupo SBF é pra você.
Somos saudavelmente inconformados, fazedores e convictos da importância de levar o movimento para cada vez mais gente. Se você se move por esporte, ou é movido por ele, temos um convite: que tal também trabalhar por ele?
Ficou interessado(a)? Vem saber mais!
O que esperamos de você
Experiência como Application Security Engineer, com autonomia para conduzir threat models, revisões de design e gestão de vulnerabilidades de complexidade média sem supervisão direta, maturidade para escalar quando o problema exigir.
O que você vai fazer
• Conduzir threat modelings STRIDE como método primário; PASTA em iniciativas críticas e revisões de arquitetura em features novas e mudanças relevantes, com foco em sistemas de e-commerce, pagamentos, logística e integrações com parceiros.
• Operar e evoluir o stack de AppSec: SAST, DAST, SCA, IaC scanning e container security, integrados ao CI/CD, com gates calibrados para bloquear o que importa sem virar bloqueador universal.
• Triar, priorizar e acompanhar a remediação de vulnerabilidades originadas em scanners, pentest, bug bounty, garantindo aderência aos SLAs por severidade e reduzindo ativamente falso-positivo.
• Endurecer pipelines de CI/CD: proteção de runners, gestão de segredos, assinatura de artefatos, geração e validação de SBOM, alinhamento a SLSA.
• Atuar em segurança de APIs aplicando OWASP API Top 10, com ênfase em BOLA/IDOR, OAuth 2.0/OIDC, JWT, autorização granular, rate limiting e padrões de gateway.
• Apoiar a postura de Cloud Security (predominantemente GCP): revisão de IAM, KMS, Secrets Manager, exposição de buckets e endpoints, configuração de redes e leitura crítica de findings de CSPM.
• Revisar manifestos Kubernetes e Dockerfiles (RBAC, PSA, NetworkPolicies, hardening de imagem), revisar e escrever políticas como código (OPA/Rego, Checkov, Kyverno).
• Apoiar tecnicamente o programa de Security Champions com onboarding, sessões de aprofundamento e ativação real dos champions nos squads.
• Fazer code review com foco em segurança em PRs sensíveis (autenticação, autorização, pagamentos, criptografia, manipulação de dados pessoais), com comentários claros e didáticos.
• Atuar em incidentes aplicacionais como referência técnica: contexto, contenção, análise de root cause, fix e contribuição ao post-mortem.
• Traduzir requisitos de OWASP ASVS, SAMM, NIST SSDF, ISO/IEC 27001:2022, SOC 2, PCI-DSS v4 e LGPD em controles técnicos e evidências auditáveis.
• Automatizar tarefas repetitivas em Python, reduzindo o trabalho manual do time e dos squads atendidos.
Hard skills
• Codificação segura em pelo menos uma linguagem do nosso stack (Java/Kotlin, Node/TypeScript, Go ou Python), com fluência em OWASP Top 10 e API Top 10 aplicados em código.
• Domínio de threat modeling (STRIDE) e de princípios de design seguro: least privilege, defense in depth, fail-safe, secure defaults, Zero Trust.
• Vivência em DevSecOps: gates de SAST, DAST, SCA, IaC e container em CI/CD, com gestão de falso-positivo, baseline e exceções controladas.
• Conhecimento de segurança em Cloud GCP: IAM (políticas, condições, permission boundaries), KMS, Secrets Manager, exposição de Buckets e endpoints, leitura crítica de CSPM.
• Segurança em Kubernetes e containers: RBAC, Pod Security Admission, NetworkPolicies, hardening de Dockerfiles, scanners de imagem.
• Padrões de autenticação e autorização: OAuth 2.0/OIDC, JWT (incluindo pitfalls como alg confusion e algoritmo none), mTLS, ABAC/RBAC, mitigação de BOLA/IDOR.
• Criptografia aplicada: simétrica/assimétrica, AEAD, KDFs, assinatura digital, PKI; usa bibliotecas auditadas, não inventa primitiva.
• Policy-as-code (OPA/Rego, Conftest, Kyverno, Checkov) e proteção de supply chain (SBOM, assinatura de artefatos, SLSA).
• Operação de ferramentas AppSec: SAST, DAST, SCA, Container/IaC scanners.
• Automação em Python para integrar ferramentas, consumir