Devsecops sênior

Buscamos um profissional DevSecOps para garantir que as esteiras CI/CD entreguem software com segurança, previsibilidade e rastreabilidade, atuando como ponto focal de DevSecOps: do desenho/implantação de novas pipelines à orquestração de SAST/DAST, gestão do backlog de vulnerabilidades e coordenação de releases. Atividades a serem realizadas: Mapear o estado atual das esteiras (Git, CI/CD, ambientes, gates) e implementar novas pipelines padronizadas para projetos .NET/Java/Angular e containers. Configurar e administrar o SonarQube On-Premise (quality profiles, quality gates, webhooks, autenticação, permissões) e integrá-lo às pipelines (PR/MR decoration, análise em branches e em releases). Atuar como papel focal de DevSecOps: coordenar atividades de SAST/DAST, responder dúvidas dos times, priorizar correções e garantir security gates. Coordenar a correção de vulnerabilidades das soluções que já possuem esteira: triagem, ownership com times de produto, definição de SLAs e redução de backlog/MTTR. Entender, estimar e propor soluções para novas demandas (novos projetos, ajustes de arquitetura de build/deploy, integrações de ferramentas, melhorias de observabilidade). Operar, manter e evoluir o pipeline: variáveis/segredos, runners, caching, paralelismo, artefatos, versionamento por TAG, estratégias de branch e aprovações. Orquestrar releases (HML/PRD): TAG aprovação deploy via Helm/Kubernetes, respeitando controles de mudança quando aplicável. Centralizar evidências (relatórios SAST/SCA/DAST, SBOM, logs de deploy) e garantir rastreabilidade para auditorias. Requisitos Obrigatórios:CI/CD & Git: GitLab CI (ou similar) com YAML avançado (rules/needs/artifacts/environments), protected branches, MRs com aprovadores e políticas de security gate. SAST: SonarQube On-Prem (admin, perfis/gates, LDAP/OIDC, PR decoration) e experiência prática integrando SAST em mono e multi-repo. DAST: Integração de OWASP ZAP (baseline/active scan) às pipelines, com publicação e triagem de achados. SCA/Container Security: Trivy (filesystem/image), SBOM (CycloneDX), políticas de severidade e allowlist de vulnerabilidades justificadas. Containers & Deploy: Docker/Buildx, registries (Harbor/GCR/ECR), Helm e Kubernetes (Rancher/GKE/AKS) para deploy automatizado por ambiente. Build toolchains: .NET (Framework/Core), Java (Maven/Gradle), Angular/Node (npm). Banco de Dados: familiaridade com migrações (ex.: FluentMigrator) e com gates quando houver alteração de schema. Observabilidade/Logs: coleta de artefatos e publicação de relatórios (ex.: Allure/HTML), logs de pipeline e de deploy. Segurança aplicada: CWE/OWASP Top 10, políticas de branch protection, segredos/credenciais, princípio do menor privilégio. Requisitos Desejáveis:Experiência com Semgrep. Gestão de vulnerabilidades em hub (ex.: DefectDojo) e fluxo de engagements/findings/ownership. Experiência com quality gates rigorosos (bloqueio por severidade/coverage/leak period). Infra as Code (Helmfile, Kustomize, Terraform) e policy as code (OPA/Conftest). Auditoria/compliance (rastreabilidade, evidências, SBOM, trilhas de aprovação). Soft Skills:Liderança pelo exemplo e atuação como ponto focal entre Dev, QA, Segurança, Banco e Operações. Comunicação clara (técnica e executiva), priorização e negociação de prazos x risco. Mentalidade de produto para esteiras: medir, comparar, melhorar continuamente. Buscamos proporcionar ao nosso time um ambiente acolhedor, dinâmico e colaborativo. Para isso, temos várias iniciativas, como: Oportunidades 100% remotas Plano de saúde Plano odontológico Vale-alimentação Vale home office Feedbacks periódicos Programa de indicações Acolhimento psicológico Ginástica laboral Academia de conhecimento Convênio com escola de inglês Reuniões mensais de transparência Happy hour online Kit de boas-vindas