Offensive Security Engineer Pleno

Nosso Modo de Fazer no Time:

Transforme sua carreira com o iFood! Somos uma empresa brasileira de tecnologia referência na América Latina. Por meio de soluções inovadoras, conectamos milhares de restaurantes a milhões de consumidores diariamente com uma média de 100 milhões de pedidos mensais. Além do delivery de comida, também somos Mercado, Farmácia e Pet. Temos também o iFood Pago, nossa Fintech, que engloba o iFood Benefícios, o vale alimentação e refeição do iFood e o próprio iFood Pago, o banco do restaurante. Junte-se a nós e faça parte de uma equipe que está sempre à frente com tecnologia de ponta e inovação constante.

Seu Cardápio Diário:

• Testes Ofensivos: Executar testes de invasão manuais e direcionados em aplicações Web, APIs e infraestrutura Cloud (AWS), indo além do que os scanners automatizados conseguem enxergar.
• Gestão do Ciclo de Vida de Vulnerabilidades: Liderar o processo de ponta a ponta — identificação, triagem, validação, priorização, acompanhamento da correção e reteste.
• Parceria com Engenharia: Atuar diretamente com os times de desenvolvimento, traduzindo falhas técnicas complexas em planos de ação claros e garantindo o cumprimento de SLAs de segurança.
• Métricas e Monitoramento: Acompanhar a evolução da postura de segurança dos squads, utilizando ferramentas de consolidação de vulnerabilidades e gerando indicadores de correção.
• Automação Ofensiva: Desenvolver scripts e ferramentas internas para automatizar rotinas de teste e validação de segurança no pipeline de CI/CD.

Ingredientes Que Buscamos:

• Domínio prático de pentests manuais e automatizados em ambientes Web e APIs.
• Sólida experiência em Gestão de Vulnerabilidades, operacionalizando o fluxo de correção com times de produto.
• Domínio de ferramentas ofensivas: Burp Suite, OWASP ZAP, Metasploit, Nmap, SQLmap, entre outras.
• Conhecimento profundo em vulnerabilidades de aplicação (OWASP Top 10, CWE, SANS).
• Habilidade para documentar falhas com clareza, incluindo impacto de negócio, PoC e guias de remediação.
• Conhecimento básico de programação/scripting para automações (Python, Go, JavaScript ou Bash).

Para Realçar o Sabor:

• Certificações práticas de segurança ofensiva: OSCP, Burp Suite Certified Practitioner, eJPT ou CEH.
• Experiência com ferramentas de Application Vulnerability Management (DefectDojo, Snyk, GitHub Advanced Security).
• Vivência em segurança para ambientes Cloud (AWS) e contêineres (Docker/Kubernetes).
• Histórico de participação em programas de Bug Bounty ou publicação de CVEs/artigos técnicos.