应用安全工程师

负责定期进行安全评估、代码审查和渗透测试，识别应用程序和软件中的漏洞，包括对PHP、Python和Angular编写的代码进行手动和自动化代码审查。分析应用程序中的常见漏洞，如OWASP Top 10中识别的风险，包括与身份验证、授权、数据验证和会话管理相关的风险。执行Web应用程序和API的渗透测试和漏洞评估，模拟真实攻击场景以发现安全弱点，并记录发现并提供缓解策略。进行威胁建模和风险评估以主动识别潜在风险并开发缓解策略。跟踪、分析和管理应用程序中的漏洞，同时为修复工作提供指导和支持。分析应用程序行为和交易模式以检测潜在欺诈或滥用场景，并识别可能允许账户接管、支付欺诈或数据篡改的漏洞。与工程和产品团队合作设计减少欺诈风险的控制措施。与开发团队紧密合作，确保安全最佳实践在整个软件开发生命周期（SDLC）中被整合，包括开发安全编码指南、提供安全编码培训，并在设计和架构审查中提供指导。设计、开发和实施安全工具、框架和方法论以保护应用程序免受安全威胁，包括整合和维护安全测试工具如SAST、DAST和依赖项扫描在CI/CD流水线中。协助调查、分析和应对与应用程序相关的安全事件，确保及时解决和记录事件。跟踪漏洞和修复进度通过内部票务系统，同时与工程、DevOps和产品团队合作提高整体应用程序安全态势，并协助开发内部安全政策和程序。

优秀的英语沟通能力；5年以上应用安全、渗透测试或安全软件开发经验；深入理解Web应用程序安全原则和OWASP Top 10；熟悉PHP、Python和现代JavaScript框架如Angular的代码审查经验；具有执行应用程序渗透测试和漏洞评估的经验；了解身份验证、授权、加密和安全会话管理；有识别和缓解应用程序中欺诈或滥用模式的经验；熟悉常见安全测试工具（例如Burp Suite、OWASP ZAP、Snyk、SonarQube等）；具备出色的沟通能力和向非安全工程师解释安全问题的能力。

15天带薪年假（PTO），1天浮动假，3天病假，以及指定的国家假日；Start: ASAP

我们是一家私有控股的近岸软件开发公司，为北美公司提供外包开发资源。我们的使命是提供开发人才，他们渴望接受具有挑战性的工作，想要通过构建软件来增长技能和经验，并在快节奏、动态的团队环境中表现出色。我们专注于为世界顶级的远程资源工作，作为受重视的客户团队成员。如果这种机会激发了你，那么考虑加入我们的团队！