Starszy DevSecOps / Inżynier bezpieczeństwa - aplikacje i chmura (e-commerce)

W Thorne pracujemy nad dostarczaniem wysokiej jakości, popartych naukowo rozwiązań, które umożliwiają jednostkom przyjęcie proaktywnego podejścia do własnego dobrego samopoczucia. Każdy dzień zaczyna się od misji pomagania innym w odkrywaniu i osiąganiu najlepszego zdrowia. Liczymy, że członkowie naszego zespołu będą rzucać wyzwania i przekraczać granice, aby tak się stało.

W Thorne dołączysz do zespołu ponad 750 pełnych pasji osób zaangażowanych w naszą sprawę polegającą na zapewnianiu najwyższej jakości rozwiązań zdrowotnych na każdym etapie życia i w każdym wieku. Thorne poszukuje starszego inżyniera ds. DevSecOps / inżyniera ds. bezpieczeństwa - aplikacje i chmura (e-commerce), aby zabezpieczać i skalować nasze platformy cyfrowe, w tym Thorne.com, aplikacje mobilne i pojawiające się możliwości sztucznej inteligencji.

Ta rola leży na styku bezpieczeństwa aplikacji, DevSecOps i infrastruktury chmurowej AWS, ze szczególnym naciskiem na ochronę systemów e-commerce, danych klientów i aplikacji internetowych o dużym ruchu. Idealny kandydat będzie równoważył działania naprawcze i praktyczne wykonanie, zapewniając odporność, wydajność i bezpieczeństwo systemów, jednocześnie osadzając zabezpieczenia w całym cyklu rozwoju. OBOWIĄZKI Bezpieczeństwo aplikacji i handlu elektronicznego · Identyfikowanie i naprawianie luk w zabezpieczeniach aplikacji opartych na Javie (Spring Boot, API, mikrousługi) · Adresowanie 10 najważniejszych zagrożeń OWASP i zagrożeń specyficznych dla handlu elektronicznego, w tym: o Wstrzykiwanie (SQL/NoSQL), XSS, CSRF o Uszkodzone uwierzytelnianie/zarządzanie sesją o Wady logiki biznesowej (kasa, ceny, promocje, scenariusze nadużyć) o Przejęcie konta, upychanie poświadczeń, ataki botów · Bezpieczne przepływy transakcji, integracje płatności, subskrypcje i obsługa danych klientów · Przeprowadzanie bezpiecznych przeglądów kodu i wspieranie modelowania zagrożeń dla nowych funkcji Bezpieczeństwo API i integracji · Bezpieczne interfejsy API REST/GraphQL (uwierzytelnianie, autoryzacja, ograniczanie szybkości) · Zapobieganie nadużyciom API, skrobaniu i eksfiltracji danych · Wdrażanie i egzekwowanie bezpiecznych wzorców (OAuth2, JWT, zarządzanie tokenami) DevSecOps i bezpieczeństwo CI/CD · Wdrażanie narzędzi bezpieczeństwa w potokach CI/CD i zarządzanie nimi: o SAST (koncentrujący się na Javie), DAST, SCA (zależności), skanowanie sekretów · Bezpieczne potoki kompilacji i wdrażania · Egzekwowanie standardów bezpiecznego kodowania i automatyzacja kontroli zasad · Własne zabezpieczenia infrastruktury jako kodu (Terraform) dla środowisk aplikacji AWS Cloud Security (krytyczne) · Bezpieczne obciążenia aplikacji na AWS (EKS/ECS, EC2, Lambda, API Gateway, S3, RDS) · Wdrożenie i walidacja: o Role IAM i dostęp z najniższymi uprawnieniami o Segmentacja sieci (VPC, grupy bezpieczeństwa, granice prywatne/publiczne) o Zarządzanie sekretami (AWS Secrets Manager, Magazyn parametrów) o Ochrona danych (szyfrowanie w spoczynku/w tranzycie) · Współpracuj z Infra, aby zapewnić zgodność z barierami korporacyjnymi, będąc jednocześnie właścicielem zabezpieczeń w chmurze w warstwie aplikacji Ochrona i wykrywanie w chmurze · Wdrażaj i dostrajaj WAF, ochrona przed botami i ograniczanie szybkości dla powierzchni e-commerce · Współpracuj z Infra w zakresie CrowdStrike dla obciążeń aplikacji · Ulepszenia w zakresie wykrywania i reagowania na: o Ataki w warstwie internetowej/aplikacji o Nadużycia API · Segregacja i korygowanie wyników z: o Testów piórkowych o Ćwiczenia fioletowego zespołu o Zakładane scenariusze naruszeń Realizacja programu bezpieczeństwa · Przekładanie ustaleń dotyczących bezpieczeństwa na priorytetowe prace inżynieryjne · Współpraca z zewnętrznymi partnerami zajmującymi się testowaniem bezpieczeństwa w zakresie ustalania priorytetów ryzyka (CTRM) powiązanego z wpływem na biznes · Promowanie stosowania najlepszych praktyk w zakresie bezpieczeństwa w całej inżynierii zespoły · Działać jako pomost pomiędzy Ecom, infrastrukturą i zewnętrznymi partnerami zajmującymi się bezpieczeństwem CZEGO POTRZEBUJESZ Bezpieczeństwo aplikacji i e-commerce · Identyfikuj i usuwaj luki w aplikacjach opartych na Javie (Spring Boot, API, mikrousługi) · Zajmij się 10 najważniejszymi zagrożeniami związanymi z OWASP i e-commerce, w tym: Wstrzykiwanie (SQL/NoSQL), XSS, CSRF Zepsute uwierzytelnianie / zarządzanie sesją Wady logiki biznesowej (kasa, ceny, promocje, scenariusze nadużyć) Konto przejmowanie, upychanie danych uwierzytelniających, ataki botów · Bezpieczne przepływy transakcji, integracje płatności, subskrypcje i obsługa danych klientów · Przeprowadzanie bezpiecznych przeglądów kodów i wspieranie modelowania zagrożeń dla nowych funkcji Bezpieczeństwo API i integracji · Bezpieczne interfejsy API REST/GraphQL (uwierzytelnianie, autoryzacja, ograniczanie szybkości) · Zapobieganie nadużyciom API, skrobaniu i eksfiltracji danych · Wdrażanie i egzekwowanie bezpiecznych wzorców (OAuth2, JWT, zarządzanie tokenami) DevSecOps i bezpieczeństwo CI/CD · Wdrażanie i zarządzaj narzędziami bezpieczeństwa w potokach CI/CD: SAST (koncentruje się na Javie), DAST, SCA (zależności), skanowanie sekretów· Bezpieczne potoki budowania i wdrażania · Egzekwuj standardy bezpiecznego kodowania i automatyzuj kontrole zasad · Własne zabezpieczenia infrastruktury jako kodu (Terraform) dla środowisk aplikacji AWS Cloud Security (krytyczne) · Bezpieczne obciążenia aplikacji na AWS (EKS/ECS, EC2, Lambda, API Gateway, S3, RDS) · Wdrażaj i sprawdzaj: Role IAM i dostęp z najniższymi uprawnieniami Segmentacja sieci (VPC, grupy zabezpieczeń, granice prywatne/publiczne) Zarządzanie sekretami (menedżer sekretów AWS, magazyn parametrów) Ochrona danych (szyfrowanie w spoczynku/w trakcie przesyłania) · Współpracuj z firmą Infra, aby zapewnić zgodność z barierami ochronnymi przedsiębiorstwa, będąc jednocześnie właścicielem zabezpieczeń w chmurze w warstwie aplikacji Ochrona i wykrywanie w czasie wykonywania · Wdrażaj i dostrajaj WAF, ochronę przed botami i ograniczanie szybkości dla powierzchni e-commerce · Współpracuj z infra w zakresie obsługi CrowdStrike dla obciążeń aplikacji · Wsparcie dla wykrywania i ulepszenia reagowania na: Ataki w warstwie internetowej/aplikacji Nadużycia API · Segregacja i usuwanie wniosków z: Testów piórowych Ćwiczenia fioletowego zespołu Zakładane scenariusze naruszeń Realizacja programu bezpieczeństwa · Przekładanie ustaleń dotyczących bezpieczeństwa na priorytetowe prace inżynieryjne · Współpracuj z zewnętrznymi partnerami zajmującymi się testowaniem bezpieczeństwa w zakresie ustalania priorytetów ryzyka (CTRM) powiązanego z wpływem biznesowym · Promuj wdrażanie najlepszych praktyk bezpieczeństwa w zespołach inżynieryjnych · Działaj jako pomost pomiędzy Ecom, infrastrukturą i zewnętrznymi partnerami ds. bezpieczeństwa CO OFERUJEMY Konkurencyjne wynagrodzenie100% opłacane przez firmę usługi medyczne, stomatologiczne, i ubezpieczenie wzroku dla pracowników Opłacane przez firmę krótko- i długoterminowe ubezpieczenie na wypadek niezdolności do pracy Opłacane przez firmę ubezpieczenie na życie Plan 401k ze składkami pracodawcy do 4%Zwrot członkostwa w siłowni Miesięczny dodatek ThornePłatny czas wolny, wolontariat i urlop wypoczynkowySzkolenia, rozwój zawodowy i możliwości rozwoju kariery Pierwotnie opublikowane w Himalajach