DevSecOps Sênior

Buscamos um profissional DevSecOps para garantir que as esteiras CI/CD entreguem software com segurança, previsibilidade e rastreabilidade, atuando como ponto focal de DevSecOps: do desenho/implantação de novas pipelines à orquestração de SAST/DAST, gestão do backlog de vulnerabilidades e coordenação de releases.

• Mapear o estado atual das esteiras (Git, CI/CD, ambientes, gates) e implementar novas pipelines padronizadas para projetos .NET/Java/Angular e containers.
• Configurar e administrar o SonarQube On-Premise (quality profiles, quality gates, webhooks, autenticação, permissões) e integrá-lo às pipelines (PR/MR decoration, análise em branches e em releases).
• Atuar como papel focal de DevSecOps: coordenar atividades de SAST/DAST, responder dúvidas dos times, priorizar correções e garantir security gates.
• Coordenar a correção de vulnerabilidades das soluções que já possuem esteira: triagem, ownership com times de produto, definição de SLAs e redução de backlog/MTTR.
• Entender, estimar e propor soluções para novas demandas (novos projetos, ajustes de arquitetura de build/deploy, integrações de ferramentas, melhorias de observabilidade).
• Operar, manter e evoluir o pipeline: variáveis/segredos, runners, caching, paralelismo, artefatos, versionamento por TAG, estratégias de branch e aprovações.
  Orquestrar releases (HML/PRD): TAG aprovação- deploy via Helm/Kubernetes, respeitando controles de mudança quando aplicável.
• Centralizar evidências (relatórios SAST/SCA/DAST, SBOM, logs de deploy) e garantir rastreabilidade para auditorias.

• CI/CD & Git: GitLab CI (ou similar) com YAML avançado (rules/needs/artifacts/environments), protected branches, MRs com aprovadores e políticas de security gate.
• SAST: SonarQube On-Prem (admin, perfis/gates, LDAP/OIDC, PR decoration) e experiência prática integrando SAST em mono e multi-repo.
• DAST: Integração de OWASP ZAP (baseline/active scan) às pipelines, com publicação e triagem de achados.
• SCA/Container Security: Trivy (filesystem/image), SBOM (CycloneDX), políticas de severidade e allowlist de vulnerabilidades justificadas.
• Containers & Deploy: Docker/Buildx, registries (Harbor/GCR/ECR), Helm e Kubernetes (Rancher/GKE/AKS) para deploy automatizado por ambiente.
• Build toolchains: .NET (Framework/Core), Java (Maven/Gradle), Angular/Node (npm).
• Banco de Dados: familiaridade com migrações (ex.: FluentMigrator) e com gates quando houver alteração de schema.
• Observabilidade/Logs: coleta de artefatos e publicação de relatórios (ex.: Allure/HTML), logs de pipeline e de deploy.
• Segurança aplicada: CWE/OWASP Top 10, políticas de branch protection, segredos/credenciais, princípio do menor privilégio.

• Experiência com Semgrep.
• Gestão de vulnerabilidades em hub (ex.: DefectDojo) e fluxo de engagements/findings/ownership.
• Experiência com quality gates rigorosos (bloqueio por severidade/coverage/leak period).
• Infra as Code (Helmfile, Kustomize, Terraform) e policy as code (OPA/Conftest).
• Auditoria/compliance (rastreabilidade, evidências, SBOM, trilhas de aprovação).

• Liderança pelo exemplo e atuação como ponto focal entre Dev, QA, Segurança, Banco e Operações.
• Comunicação clara (técnica e executiva), priorização e negociação de prazos x risco.
• Mentalidade de produto para esteiras: medir, comparar, melhorar continuamente.

Buscamos proporcionar ao nosso time um ambiente acolhedor, dinâmico e colaborativo. Para isso, temos várias iniciativas, como:

• Oportunidades 100% remotas ‍
  Plano de saúde ‍-
• Plano odontológico
• Vale-alimentação
• Vale home office
• Feedbacks periódicos
• Programa de indicações
  Acolhimento psicológico ‍-
• Ginástica laboral
• Academia de conhecimento
• Convênio com escola de inglês
• Reuniões mensais de transparência
• Happy hour online
• Kit de boas-vindas