Job Description

• Definir e implementar arquiteturas e práticas DevSecOps para pipelines CI/CD seguras.
• Gerir vulnerabilidades e apoiar a sua remediação em colaboração com as equipas de desenvolvimento.
• Configurar e administrar ferramentas como GitHub Advanced Security, SonarQube e JFrog Artifactory/Xray.
• Definir políticas de segurança para gestão de código, artefactos, branching e releases.
• Promover boas práticas de desenvolvimento seguro e automatização de controlos de segurança.
• Apoiar e capacitar as equipas de desenvolvimento na adoção de práticas DevSecOps.

• Experiência sólida em DevSecOps, Segurança Aplicacional, DevOps ou Secure Software Delivery;
• Conhecimentos avançados de GitHub Enterprise e GitHub Advanced Security (CodeQL, Secret Scanning, Dependabot, Dependency Review);
• Experiência na administração e configuração de SonarQube (Quality Gates, Security Hotspots, Code Quality Profiles);
• Experiência na utilização de JFrog Artifactory e JFrog Xray;
• GitHub Actions, Azure DevOps, Jenkins, GitLab CI ou plataformas equivalentes;
• Conhecimentos sólidos de GitFlow, estratégias de branching, pull requests e gestão de releases;
• Gestão de vulnerabilidades, SAST, SCA, segurança de pipelines, OWASP Top 10;
• Experiência sólida em Docker e tecnologias OCI, Kubernetes e/ou OpenShift;
• Gestão segura de artefactos e promoção entre ambientes;
• Conceitos de rastreabilidade, versionamento e imutabilidade de artefactos

• Experiência em Azure, Azure DevOps, Azure Kubernetes Service (AKS) ou Azure Container Registry.
• Conhecimentos de OpenShift ou Azure Red Hat OpenShift.
• Experiência em Infrastructure as Code (Terraform, Helm, Kubernetes Manifests).
• Experiência na gestão de SBOM (Software Bill of Materials).
• Conhecimentos de Policy as Code (OPA, Gatekeeper, Kyverno, Checkov ou ferramentas similares).
• Experiência em gestão de CMDB, inventário aplicacional ou mapeamento de ownership.
• Conhecimento de frameworks como DORA, ISO 27001, NIST, CIS, PCI-DSS ou EBA.
• Certificações ou formação em GitHub Advanced Security, SonarQube, JFrog, DevSecOps, OWASP, Kubernetes Security, Azure Security, CISSP, CSSLP, GSEC ou equivalentes.

• Excelente capacidade de colaboração com equipas multidisciplinares.
• Forte capacidade analítica e orientação para resolução de problemas.
• Facilidade em comunicar riscos técnicos a diferentes tipos de stakeholders.
• Equilíbrio entre requisitos de segurança e necessidades de negócio.
• Capacidade de influência e liderança técnica sem autoridade formal.
• Elevado sentido de responsabilidade, autonomia e espírito de melhoria contínua.