Somos uma empresa global de tecnologia especializada em aplicações e segurança digital. Nossa plataforma ajuda empresas a operar com mais agilidade, reduzindo o tempo de resposta e aumentando a confiabilidade de seus sistemas.
Na Azion, nosso propósito é simplificar a construção de aplicações e transformar o futuro com tecnologia de ponta. Aqui, você terá a chance de se desenvolver em um ambiente inovador, ao lado de um time de alta performance, atuando em desafios reais e criando soluções que fazem a diferença.
O AppSec Engineer atua como parceiro de segurança da organização de engenharia, sendo responsável por incorporar segurança em todo o ciclo de desenvolvimento de software. A posição é responsável por design seguro, revisão de código, gestão de vulnerabilidades em aplicações e testes de invasão em aplicações web. O profissional trabalha diariamente com desenvolvedores, participando de discussões de arquitetura, revisando pull requests e criando ferramentas e orientações que tornem o caminho seguro o mais simples para os times.
- Modelagem de Ameaças e Design Seguro: liderar sessões de modelagem de ameaças para novas funcionalidades, serviços e mudanças arquiteturais, além de participar de revisões de design como ponto focal de segurança;
- Revisão Segura de Código: realizar revisões de código manuais e apoiadas por ferramentas para alterações de alto risco e definir quais mudanças exigem revisão de segurança;
- Ferramentas do SDLC: ser responsável pela configuração, ajuste e operação de ferramentas SAST, DAST, SCA e de detecção de segredos integradas aos pipelines de CI/CD, com foco em resultados acionáveis e baixa taxa de falsos positivos;
- Testes de Invasão em Aplicações Web: realizar pentests internos contínuos em aplicações web e APIs, definir escopo e gerenciar avaliações anuais conduzidas por terceiros, além de triar vulnerabilidades reportadas por programas de bug bounty;
- Gestão de Vulnerabilidades: ser responsável pelo ciclo de vida das vulnerabilidades de aplicações, desde a descoberta até a correção, incluindo definição e acompanhamento de SLAs;
- Capacitação de Desenvolvedores: criar e manter diretrizes de codificação segura, ministrar treinamentos, definir bibliotecas seguras por padrão e fornecer consultoria para equipes de produto;
- Padrões de Segurança de Aplicações: definir e aplicar padrões para autenticação, autorização, gerenciamento de sessão, validação de entradas, uso de criptografia, tratamento de segredos e segurança de APIs (OAuth 2.0, OIDC e JWT);
- Detecção em Camada de Aplicação: atuar em parceria com a equipe de Operações de Segurança para definir requisitos de logging de aplicações, ajustar regras de WAF e contribuir com lógicas de detecção para ataques específicos de aplicações;
- Cobertura Cruzada: atuar como backup do(a) Engenheiro(a) de Operações de Segurança na triagem de alertas relacionados à camada de aplicação.
- Proficiência em pelo menos duas linguagens modernas amplamente utilizadas em nosso stack, como Python, Java, Go, JavaScript ou TypeScript, ou C#. Esta função exige leitura e escrita frequente de código;
- Conhecimento profundo de OWASP Top 10, OWASP ASVS, OWASP SAMM e CWE/SANS Top 25;
- Experiência prática com ferramentas de testes de aplicações web, como Burp Suite, e com plataformas SAST, DAST e SCA, como Semgrep, Snyk, Checkmarx ou Veracode;
- Forte compreensão de arquiteturas web modernas (SPAs, microsserviços, serverless), segurança de APIs REST e GraphQL e protocolos de autenticação e autorização (OAuth 2.0 e OIDC);
- Experiência integrando ferramentas de segurança em plataformas CI/CD, como GitHub Actions, GitLab CI ou Jenkins;
- Capacidade comprovada de trabalhar diretamente com engenheiros de software como um par técnico, e não como auditor;
- Graduação em Ciência da Computação ou experiência prática equivalente.
- Certificações como OSWE, GWAPT, GWEB, Burp Suite Certified Practitioner ou CSSLP;
- Experiência prévia como desenvolvedor(a) de software em times de produto;
- Contribuições públicas, como CVEs descobertas, ferramentas de segurança open source, palestras, pesquisas publicadas ou histórico em programas de bug bounty;
- Experiência construindo ferramentas internas de segurança ou plataformas de segurança voltadas para desenvolvedores;
- Familiaridade com segurança de aplicações móveis (iOS e Android) ou aplicações integradas a LLMs;
- Experiência atuando em ambientes regulados (PCI-DSS, HIPAA, SOC 2 ou ISO 27001).
- Modelo de contratação CLT;
- Plano de saúde e odontológico;
- VR e VA flexível (Cartão Flash), inclusive em período de férias;
- Vale-transporte sem desconto em folha;
- Hackathons anuais internos;
- Auxílio mobilidade (valor adicional para deslocamento);
- Freestyle (incentivo para customização da estação de trabalho);
- Stock options (conforme política);
- Birthday day off;
- TotalPass;
- Horário de trabalho flexível (flexível mesmo);
- Programa Nômade para trabalhar de onde quiser por até 30 dias no ano (conforme política);
- Programa de Intercâmbio internacional anual.
Oferecemos um modelo de FlexWork que prioriza o aculturamento e a colaboração. Nos primeiros três meses, você trabalhará on-site no escritório local, uma etapa essencial para construir relacionamentos sólidos e uma conexão genuína com nossos valores e objetivos. Acreditamos que essa imersão inicial não só fortalece a equipe, mas também impulsiona a criatividade e a inovação.
Após esse período, você terá a possibilidade de aplicar para o modelo híbrido, trabalhando presencialmente pelo menos três vezes por semana. Essa abordagem equilibra a interação presencial e a autonomia, criando um ambiente de trabalho dinâmico e produtivo.
Na Azion, todas as candidaturas são bem-vindas, independentemente de gênero, orientação sexual, idade, gravidez, deficiência, etnia, cor, país de origem ou religião. Acreditamos que um ambiente inclusivo contribui para o nosso sucesso e que o respeito está presente em todas as nossas relações.
Venha fazer parte da nossa equipe! Estamos ansiosos para conhecê-lo e trilhar juntos um caminho de sucesso na tecnologia!
