软件安全工程师

 

 关于ShipHero
 

 



 您好。我们是ShipHero（https://shiphero.com）。我们构建了一个软件平台，被数百家电商公司，无论大小，所信赖来运营他们的业务，并且我们仍在不断增长。每年通过ShipHero运送的电商订单金额约为50亿美元。我们的客户在Shopify、Amazon、Etsy、Ebay、WooCommerce、BigCommerce等众多平台上销售。我们致力于帮助客户通过提供解决复杂问题的可靠和快速的平台来发展他们的业务。我们痴迷于构建伟大的技术，这种技术美观、易于使用，并且受到我们客户的喜爱。我们的文化也反映了我们的信条和信念，即通过汇聚热情、有才华和优秀的人才，你可以做出伟大的事情。
 

 



 我们的团队是完全远程的，我们的大多数工程师目前分布在美洲，但我们也在欧洲构建团队。我们定期使用视频聊天和Slack进行沟通，并且非常强调异步工作，以便人们有大量不间断的时间来集中精力和进行深入工作。
 

 



 确保您和公司其他员工在工作时能够集中注意力对我们来说非常重要。您可以从我们的网站上阅读我们关于我们如何沟通的内部指南： https://shiphero.com/careers/c...
 

 



 

 



 

 关于职位
 

 



 我们正在寻找一位经验丰富的软件安全工程师，他将帮助我们开发和增强我们的内部安全工具以实现自动化。您的职责将包括在Python/Django/Flask中的高级开发，但也包括日常的安全工作量，如安全分析和监控，启用和改进现有安全控制，漏洞管理，参与安全事件和审查。
 

 



 您应该拥有扎实的软件工程背景，并且具有在应用安全和Web技术方面的强大经验。
 

 



 

 



 

 职责
 

 



 
成为所有与应用安全最佳实践相关的工程师团队对话的联系人：参与头脑风暴，确保安全要求始终可见，执行风险评估，在ADRs中记录所有决策，作为安全守门人批准定义，跟踪所有未来的承诺，并与团队执行问责。
 
管理我们的漏洞赏金计划：作为安全研究人员的PoC，协调维护适当的安全环境，分类发现，创建相应的带有所需详细信息的票据，确保它们被适当地优先考虑并为工程师经理所知，定义发现的经济价值并处理付款。
 
在需要时作为我们安全事件流程的协调员：与利益相关者开放沟通渠道确保遵循定义的流程，向领导层展示正在进行的状态，验证潜在的解决方案或缓解流程，领导事后审查，并跟踪所有承诺并执行问责。
 
领导年度渗透测试流程：评估第三方候选人，准备经济提案并与招聘决策合作。协调准备适当的渗透测试环境，协调渗透测试日历，领导渗透测试人员与内部团队之间的沟通，记录发现以优先考虑和分配给内部团队，协调重新测试，验证修复并领导流程至最后阶段。
 
实施和维护SIEM以记录应用程序日志，配置实时事件检测的警报，利用当前的威胁检测工具，记录并促进日志归档以进行取证活动。
 
自动化依赖项漏洞状态报告，优先打补丁，帮助工程团队进行升级（分类、开发和部署），对高度关键的漏洞采取主动的动手方法进行打补丁。
 
与当前的SAST实施合作，改进报告以更好地可视化漏洞，计划缓解路线图并跟随其实施。
 
作为与我们的合规官合作的PoC，回答所有影响工程总体和应用开发特别的问题。


 

 



 

 要求
 

 



 
5年以上安全工程师经验。


 
5年以上使用Python的软件工程师经验。


 
在自动化安全任务和配置安全工具（SIEM，Web扫描器）方面的经验。


 
具有Linux，Apache，Nginx，Gunicorn，Django，Flask，React和MySQL的实践经验。


 
具有现代云部署管道的实践经验，如基础设施即代码（Terraform），软件开发生命周期，持续集成和交付（Git & Atlassian Suite）。


 
具备流利的英语口语和书写能力。




 

 



 

 福利
 

 



 
2500美元，您可以购买任何您需要的设备，以便在工作中感到快乐
 
20天带薪假期+新年和圣诞节
 
会议日不计入您的假期天数，我们希望您保持最新状态
 
我们将支付课程和会议费用，如果您学习，我们都学习
 
薪资范围是75000 - 120000美元/年，根据经验和地点而定