高级安全运营工程师
关于Toptal
Toptal是一个由全球顶尖商业人才组成的网络, 设计, 以及使公司能够扩大团队规模的技术, 随需应变. 年收入超过2亿美元 团队成员遍布全球, Toptal是 世界上最大的完全远程劳动力.
我们将虚拟团队的最佳元素与鼓励创新的支持结构相结合, 社会互动, 和有趣的. 我们不分国界,快速发展,从不害怕打破常规.
工作总结
作为Toptal的高级安全操作工程师, 你将与开发部合作, 它操作, 基础设施团队, 和风险 & 合规, 为公司提供必要的知识和工具,以警惕地保护Toptal的产品. 你帮助确保他们装备精良,以维持最高的安全标准, 维护公司的未来. 你将进行评估, 自动化操作工作流, 对工程部进行安全培训.
这是一个偏远的位置. 我们不提供签证担保或协助. 简历和沟通必须用英文提交.
职责:
- 以下信息旨在描述正在执行的工作的一般性质和级别. 它并不打算是所有职责、责任或所需技能的详尽清单.
- 运行安全评估并建议开发人员进行补救.
- 对员工进行个人、公司、体系结构和开发安全最佳实践方面的教育.
- 参与应用程序设计和解决方案,并协助代码审查.
- 把安全问题提上日程.
- 举办有针对性的教育课程和研讨会,以提高员工的安全知识, 企业, 建筑, 发展领域.
- 通过主动识别和提出安全问题,在组织内维护安全, 并倡导安全第一的做法.
- 维护安全开发生命周期并将其集成到CI管道中.
- 开发和维护主动监控工具.
- 提供及时和充分的有关Toptal安全现状的信息.
- 承担风险 & 遵守公司的保安措施、标准和政策.
- 对任何正在进行或已完成的事件作出回应, 帮助团队找到根本原因, 设定可能的行动点.
在第一周,期望:
- 并集成到Toptal.
- 迅速开始了解Toptal的历史、文化和愿景.
在第一个月,期望:
- 完成强制性培训.
- 熟悉我们用来评估和改进应用程序安全性的工具.
- 对我们的基础设施设置和关键应用程序有很好的理解.
- 将您的第一张票交付完成.
- 开始与其他团队合作.
在前三个月,预期:
- 为漏洞管理过程做出贡献, 在使用的框架和技术中升级漏洞,并与开发人员沟通如何缓解它们.
- 通过创建新票和在必要时整理现有票来拥有团队的积压.
- 努力实现团队目标.
- 开始参与值班轮岗.
在前六个月,期望:
- 参与设计/实现决策.
- 调查安全事件并采取后续行动.
- 建议并实施流程和工具的改进.
- 改进应用程序的安全审计(集成新的安全工具), 将当前的解决方案扩展到更多的项目, 创建带有指标的仪表板, 并为我们的团队设置自动通知).
- 保持安全意识 & 培训课程,并为全公司开发合适的材料.
任职资格及职位要求:
- 3年以上应用程序安全工作经验, 对工程团队的安全原则和实践有深刻的理解.
- 有能力领导安全计划,并在工程领域传播全面的安全思维.
- 熟练指导, 指导, 并为工程团队提供指导,以提高他们的安全技能和意识.
- 有开发和提出针对不同工程需求的安全指导方针和最佳实践的经验.
- 具有扎实的应用程序开发背景,至少使用一种现代编程语言.
- 熟悉CI/CD工具,如Docker, 詹金斯, 和GitHub Actions, 以及云平台(最好是GCP).
- 具备基础设施即代码(IaC)知识,有Terraform等工具的使用经验.
- 了解OWASP方法,并了解web和移动漏洞.
- 熟悉常用的安全标准,如ISO/IEC 27000系列,GDPR, SOC2, PCI.
- 有使用科协和DAST工具的经验,如Snyk, BurpSuite, OWASP ZAP等.
- 熟悉云遵从工具,如InSpec.
- 较强的解决问题的能力,能够考虑和整合多种解决方案.
- 对技术有高度的热情,积极主动地学习和采用新的工具和实践.
- 接受并欣赏建设性的反馈, 促进协作和以学习为中心的工作环境.
- 持有一个或多个当前有效的安全相关证书(优先).
- 优秀的书面和口头沟通能力, 能够有效地向不同的受众阐述安全概念.
- 能适应快节奏的工作, 快速成长的公司,能够处理各种各样的挑战, 最后期限, 还有各种各样的联系人.
- 你必须是一个世界级的个人贡献者才能在Toptal茁壮成长. 你在这里不仅仅是为了告诉别人该怎么做.