Buscamos a la persona que se convierta en el referente técnico de la plataforma de Application Security Testing, que pueda integrar SAST, DAST, IAST y SCA en todo el ciclo de vida del software, y tomar decisiones que reduzcan la superficie de ataque antes de que se convierta en incidente.
¿Cuáles serán tus desafíos?
DevSecOps y CI/CD — donde se define el shift-left
-
Integrar HCL AppScan en pipelines de Jenkins, Azure DevOps, GitLab CI y GitHub Actions, llevando la seguridad a etapas tempranas del SDLC.
-
Definir quality gates que bloqueen o adviertan releases con vulnerabilidades críticas no remediadas.
-
Desarrollar automatizaciones sobre la AppScan REST API y CLI para ejecución de escaneos, parseo de resultados y gestión de hallazgos.
-
Impulsar la adopción de AppScan Source IDE Plugin y pre-commit hooks en los flujos de trabajo de los equipos de desarrollo.
Application Security Testing en profundidad
-
Configurar y ejecutar SAST sobre repositorios multi-lenguaje (Java, .NET, Python, JavaScript, PHP, Go).
-
Implementar y gestionar DAST sobre aplicaciones web y APIs REST/SOAP en QA y pre-producción.
-
Desplegar sensores IAST para detección de vulnerabilidades en tiempo de ejecución.
-
Ejecutar SCA para identificar riesgo en librerías y dependencias open source (CVE, CVSS).
Gobierno, gestión de hallazgos y mejora continua
-
Triagear y priorizar hallazgos, separando con criterio técnico los falsos positivos de las vulnerabilidades reales.
-
Asesorar a equipos de desarrollo en remediación bajo OWASP Top 10, SANS CWE Top 25 y frameworks de compliance (ASVS, NIST SP 800-53, ISO 27001, PCI-DSS).
-
Elaborar reportes ejecutivos de postura de seguridad y KPIs de AppSec para CISO y áreas de riesgo.
-
Administrar y mantener la plataforma HCL AppScan (ASE, Standard, Source, ASoC): usuarios, políticas de escaneo, upgrades y salud del servicio.
-
4+ años de experiencia en seguridad de aplicaciones (AppSec), con al menos 2 años operando HCL AppScan o IBM AppScan.
-
Experiencia comprobada implementando pipelines DevSecOps con integración de herramientas SAST/DAST/IAST/SCA.
-
Conocimiento profundo de OWASP Top 10, SANS CWE Top 25 y metodologías de evaluación de vulnerabilidades en aplicaciones web y APIs.
-
Experiencia trabajando con equipos de desarrollo ágil (Scrum/Kanban) en entornos de CI/CD.
-
Manejo de al menos un lenguaje de programación o scripting: Java, Python, JavaScript o .NET.
Suma (y mucho) si tenés:
-
Certificaciones HCL AppScan Certified Professional (o equivalente IBM), GWAPT o CSSLP.
-
OSCP, eWPT/eWPTX, AWS/Azure Security Specialty, CDP o Security+/PenTest+.
-
Experiencia en seguridad de contenedores y orquestación (Docker, Kubernetes).
-
Formación en Ingeniería en Sistemas, Informática, Ciberseguridad o afín.
Modalidad: HÍBRIDA (CABA - Puerto Madero)
