Senior DevSecOps Engineer (Security, CI/CD & Embedded Systems) (M/F/NB)

Nasze wymagania: masz komercyjne doświadczenie w roli DevOps Engineer lub DevSecOps Engineer, dobrze rozumiesz CI/CD oraz cykl życia oprogramowania, masz doświadczenie w obszarze bezpieczeństwa aplikacji (SAST, SCA, vulnerability management), pracowałeś/aś z C/C++ lub środowiskami embedded, masz doświadczenie w pracy z narzędziami CI/CD (GitHub, GitLab, GitHub Actions, AWS), potrafisz pracować w środowisku z wieloma repozytoriami i legacy kodem, rozumiesz wyzwania integracji narzędzi w heterogenicznych środowiskach buildowych, potrafisz projektować rozwiązania end-to-end i brać za nie odpowiedzialność, komunikujesz się swobodnie w języku angielskim. Mile widziane: doświadczenie w pracy z regulacjami bezpieczeństwa (np. CRA lub podobne), doświadczenie w budowie SBOM i zarządzaniu podatnościami na poziomie organizacji, znajomość narzędzi takich jak Veracode, CodeSonar lub podobnych, doświadczenie w projektowaniu rozwiązań audytowalnych i zgodnych z compliance, doświadczenie w skalowaniu DevSecOps w dużych organizacjach, zainteresowanie wykorzystaniem AI w obszarze security (np. wsparcie napraw podatności). O projekcie: Dołączysz do zespołu realizującego długoterminowy projekt technologiczny, którego celem jest dostosowanie środowiska wytwarzania oprogramowania do wymagań Cyber Resilience Act (CRA). Projekt obejmuje szerokie portfolio produktów, w tym systemy embedded oraz rozwiązania o długim cyklu życia, rozwijane w środowisku o dużej liczbie istniejących repozytoriów i zróżnicowanych systemów buildowych. Istotną częścią pracy jest wprowadzanie i skalowanie praktyk DevSecOps w środowisku legacy – od uruchamiania skanowania bezpieczeństwa, przez budowanie pipeline’ów CI/CD, po zapewnienie pełnej widoczności stanu bezpieczeństwa kodu. Pracujemy m.in. z: - CI/CD: GitHub, GitLab, GitHub Actions - Cloud: AWS - Języki: C/C++ - Build systems: CMake, Make oraz rozwiązania vendor-specific - Security tooling: SAST, SCA (np. Veracode, CodeSonar) - SBOM i zarządzanie podatnościami Projekt ma charakter długoterminowy i koncentruje się na budowie rozwiązań skalowalnych, audytowalnych i możliwych do zastosowania w wielu zespołach i repozytoriach. Zależy nam na dołączeniu nowej osoby w możliwie krótkim czasie. Model współpracy jest elastyczny – możliwa praca zdalna lub hybrydowa. Dlaczego warto? To rola, w której: - pracujesz nad realnymi systemami i produktami o dużej skali i złożoności, - masz bezpośredni wpływ na bezpieczeństwo i zgodność regulacyjną (CRA), - wprowadzasz DevSecOps do środowiska legacy, a nie tylko utrzymujesz istniejące rozwiązania, - projektujesz rozwiązania wykorzystywane w wielu zespołach i repozytoriach, - łączysz DevOps, security i embedded w jednym projekcie, - masz realny wpływ na decyzje architektoniczne i kierunek rozwoju. Zakres obowiązków: uruchamianie i skalowanie procesów bezpieczeństwa (SAST, SCA) dla istniejących baz kodu, projektowanie i rozwój pipeline’ów CI/CD z uwzględnieniem security, generowanie i utrzymanie SBOM, integrację narzędzi bezpieczeństwa z różnymi systemami buildowymi (CMake, Make, custom), budowę skalowalnych workflowów bezpieczeństwa dla wielu repozytoriów i zespołów, współtworzenie podejścia do zarządzania podatnościami i wyjątkami (waivers), zapewnienie traceability i wsparcia dla wymagań audytowych (CRA), współpracę z zespołami developerskimi przy wdrażaniu standardów bezpieczeństwa. Oferujemy: rozwój poprzez pracę w międzynarodowym środowisku i różnorodnych projektach oraz dzielenie się wiedzą w grupach kompetencyjnych, budżet szkoleniowy i budowanie indywidualnej ścieżki rozwoju podczas regularnych spotkań z menedżerem/menedżerką, benefity, takie jak prywatna opieka medyczna Medicover, karta Multisport, grupowe ubezpieczenie na życie, dofinansowanie do posiłków, elastyczność w zakresie godzin pracy i formy współpracy oraz możliwość korzystania z biur we Wrocławiu, Katowicach, Poznaniu i Gdańsku, udział w inicjatywach technologicznych, wydarzeniach wewnętrznych i społecznościach tematycznych.