Desenvolvedor AppSec / Engenharia de Segurança de Aplicações

Estamos buscando um profissional com perfil voltado para Segurança de Aplicações (AppSec), com forte atuação em desenvolvimento seguro, revisão de código, análise de vulnerabilidades e evolução de práticas de segurança no ciclo de desenvolvimento de software. Buscamos alguém com perfil “segurança que sabe desenvolver”, capaz de atuar diretamente no código, apoiar os times de desenvolvimento e contribuir na construção da cultura e do roadmap de segurança da empresa. Principais Atividades Atuar no desenvolvimento, manutenção e evolução de aplicações do ecossistema e-cidade; Executar análises de segurança em aplicações web e APIs REST; Realizar testes de vulnerabilidades (pentest em aplicações), análise de riscos e validação técnica de falhas; Atuar com técnicas de análise estática (SAST) e análise dinâmica (DAST), alinhadas ao ciclo de desenvolvimento seguro (SSDLC); Participar da investigação e resposta a incidentes reais de segurança relacionados às aplicações; Realizar análise de logs, rastreamento de comportamentos suspeitos e identificação de possíveis vetores de ataque; Atuar diretamente na correção segura de vulnerabilidades no código-fonte; Apoiar tecnicamente as equipes de desenvolvimento na adoção de boas práticas de segurança; Contribuir para a definição e implementação futura da esteira DevSecOps da empresa; Participar da construção do roadmap de segurança de aplicações e maturidade AppSec da organização; Realizar revisão segura de código (Secure Code Review); Atuar na mitigação de vulnerabilidades comuns, especialmente relacionadas ao OWASP Top 10; Avaliar autenticação, autorização, gestão de sessões e controle de acesso das aplicações; Realizar análise de dependências vulneráveis e bibliotecas de terceiros (SCA – Software Composition Analysis); Apoiar a implementação de práticas seguras em pipelines CI/CD; Contribuir com adequações relacionadas à LGPD aplicada a sistemas públicos e tratamento de dados sensíveis. Tecnologias e Stack Principal: Stack do e-Cidade - PHP - PostgreSQL - JavaScript - Laravel - Vue.js - Linux / Apache - Código legado próprio (iniciado em 2002 em PHP e Postgres) Ferramentas e Tecnicas Desejáveis Kali Linux Metasploit Snort SonarQube Ferramentas SAST/DAST Ferramentas SCA GitLab CI Docker CI/CD Conhecimentos Técnicos Desejáveis Segurança de aplicações web (AppSec); OWASP Top 10; OWASP ASVS; SSDLC (Secure Software Development Lifecycle); Segurança em APIs REST; Hardening de aplicações; Análise e correção de vulnerabilidades; Revisão segura de código; Autenticação e autorização; Gestão segura de sessões; Prevenção contra SQL Injection, XSS, CSRF, SSRF, RCE e outras vulnerabilidades web; LGPD aplicada a sistemas e aplicações públicas; Conhecimentos em DevSecOps; Integração de segurança em pipelines CI/CD; Containers e ambientes Docker; Versionamento Git; Análise de logs e investigação de incidentes; Conceitos de ISO 27001 e CIS Controls. Perfil Desejado Perfil analítico e investigativo; Interesse em segurança ofensiva aplicada ao desenvolvimento seguro; Facilidade para atuar em código legado; Boa comunicação com equipes técnicas; Capacidade de identificar riscos e propor melhorias; Interesse em construir processos e cultura de segurança; Proatividade e autonomia; Interesse contínuo em estudo e atualização na área de segurança. Diferenciais Experiência prévia com AppSec; Experiência com Pentest em aplicações web; Participação em programas de Bug Bounty; Conhecimento em DevSecOps; Conhecimento em sistemas públicos/governamentais; Certificações ou estudos relacionados à segurança da informação; Experiência com análise de vulnerabilidades em aplicações PHP/Laravel. Modelo de Trabalho Regime CLT Atuação remota Sobre a oportunidade O profissional atuará diretamente na evolução da maturidade de segurança do e-Cidade, ajudando a estruturar práticas de desenvolvimento seguro, análise contínua de vulnerabilidades e construção futura da esteira de segurança da empresa. A atuação será focada exclusivamente em segurança de aplicações (AppSec), sem responsabilidade sobre infraestrutura ou administração de redes/servidores. Benefícios: • Assistência médica • Assistência odontológica • Vale-alimentação • Vale-refeição Local do trabalho: Remoto híbrido para Niterói, RJ