A Renesas Electronics Corporation está a recrutar um/a Staff Product Security Engineer para Lisboa, com foco no reforço das capacidades de Product Security da plataforma Altium 365.
A função terá uma forte componente de descoberta e prevenção contínua de vulnerabilidades, incluindo testes de regressão de segurança, threat modeling, atividades ofensivas de segurança e identificação de vulnerabilidades reais com base num conhecimento profundo da plataforma e do OWASP Top 10.
O objetivo é garantir que tanto as funcionalidades existentes como as novas alterações permanecem seguras ao longo do tempo, identificando vulnerabilidades antes que estas cheguem aos clientes.
Responsabilidades:
Desenhar e manter suites de testes de regressão de segurança para fluxos críticos da aplicação;
Garantir que vulnerabilidades corrigidas são prevenidas de forma permanente;
Integrar testes de regressão de segurança em pipelines de CI/CD;
Definir objetivos de cobertura para áreas críticas de segurança, como autenticação, controlo de acessos, APIs e fluxos de dados;
Liderar sessões estruturadas de threat modeling para componentes existentes, novas funcionalidades e alterações arquiteturais;
Identificar superfícies de ataque, cenários de abuso e trust boundaries;
Traduzir ameaças em casos de teste, requisitos de segurança e planos de mitigação;
Garantir que o threat modeling se torna uma atividade contínua ao longo do ciclo de vida do produto;
Executar testes de segurança manuais e automatizados, simulando comportamentos reais de atacantes;
Focar-se em vulnerabilidades de elevado impacto, validando explorabilidade e impacto no negócio;
Colaborar com equipas de engenharia na reprodução de problemas, priorização de correções e validação da remediação;
Avaliar continuamente a plataforma face às categorias do OWASP Top 10;
Utilizar conhecimento profundo do produto para identificar vulnerabilidades contextuais e não óbvias;
Ir além de ferramentas DAST/SAST, identificando falhas lógicas e caminhos de abuso;
Rever novas funcionalidades e alterações do ponto de vista de risco de segurança;
Garantir que as alterações são analisadas através de threat modeling e cobertas por testes de regressão;
Atuar como facilitador de segurança, apoiando as equipas com orientação e ferramentas sem criar excesso de processo;
Trabalhar em proximidade com equipas de engenharia, arquitetura e SRE/Platform;
Contribuir para práticas secure-by-design;
Apoiar developers na compreensão e correção de vulnerabilidades;
Ajudar a escalar a segurança através de padrões reutilizáveis, automação e documentação de boas práticas.
Requisitos:
Mais de 5 anos de experiência em Application Security ou Product Security;
Licenciatura ou experiência profissional equivalente a 12 anos de trabalho;
Forte experiência prática em testes de segurança de aplicações web;
Experiência em segurança de APIs;
Conhecimento de metodologias de threat modeling;
Conhecimento aprofundado do OWASP Top 10;
Experiência em testes de penetração manuais;
Experiência em testes de regressão de segurança;
Experiência em integração de segurança em CI/CD;
Capacidade para identificar vulnerabilidades de lógica de negócio;
Forte conhecimento de autenticação, autorização e gestão de sessões;
Conhecimento de arquiteturas multi-tenant;
Conhecimento de sistemas cloud-native.
Será valorizado:
Experiência em plataformas SaaS ou multi-tenant;
Familiaridade com programas de bug bounty;
Experiência em red teaming;
Conhecimentos de frameworks de automação de segurança;
Conhecimentos de AWS;
Conhecimentos de sistemas de identidade e federação, como SSO e MFA;
Background em engenharia de software, com capacidade para ler e escrever código.