Security Specialist

Twój wpływ

To nie jest kolejna praca, w której jesteś anonimowym inżynierem. W ARAW Twoje działania przekładają się bezpośrednio na bezpieczeństwo cyfrowe ponad miliona mieszkańców aglomeracji wrocławskiej. Będziesz chronić systemy i aplikacje, które służą lokalnej społeczności, promują region i wspierają biznes. To unikalna okazja, by połączyć techniczny expertise z misją publiczną – Twoja czujność i umiejętności sprawią, że Wrocław będzie nie tylko miastem spotkań, ale i cyfrową twierdzą odporną na zagrożenia.

Opis stanowiska

Agencja Rozwoju Aglomeracji Wrocławskiej S.A. poszukuje technicznego specjalisty ds. bezpieczeństwa, który skupi się na praktycznej ochronie naszych aplikacji webowych. Poszukujemy osoby o profilu „hands-on”, odpowiedzialnej nie tylko za wykrywanie podatności, ale przede wszystkim za aktywną analizę kodu, przeprowadzanie testów bezpieczeństwa oraz tworzenie strategii bezpieczeństwa oprogramowania we współpracy z zespołami deweloperskimi.

Rola ta koncentruje się na technicznych aspektach cyberbezpieczeństwa. Do Twoich zadań będzie należeć bieżące monitorowanie stanu zabezpieczeń aplikacji, hardening systemów oraz zapewnienie, że nasze produkty są odporne na współczesne ataki sieciowe.

Zakres obowiązków

• Techniczna weryfikacja podatności: regularne przeprowadzanie testów penetracyjnych (white-box/grey-box) kluczowych aplikacji.

• Wdrażanie poprawek: bezpośrednia praca z kodem aplikacji — proponowanie zmian lub samodzielne przygotowywanie poprawek eliminujących luki bezpieczeństwa.

• Modelowanie zagrożeń: udział w projektowaniu nowych funkcjonalności, aby eliminować błędy architektoniczne już na etapie koncepcji.

• Hardening systemów: techniczne utwardzanie konfiguracji serwerów i środowisk aplikacyjnych zgodnie ze standardami (np. CIS Benchmarks).

• Konfiguracja narzędzi security: wdrażanie i utrzymanie narzędzi SAST/DAST/SCA oraz konfiguracja zabezpieczeń brzegowych (np. WAF).

• Monitorowanie bezpieczeństwa aplikacji: analiza alertów z narzędzi bezpieczeństwa (np. WAF, IDS/IPS, logów aplikacyjnych), identyfikacja anomalii oraz inicjowanie działań korygujących.

• Edukacja zespołów technicznych: prowadzenie krótkich warsztatów i konsultacji z obszaru secure coding, wspieranie zespołów deweloperskich w budowaniu świadomości bezpieczeństwa.

• Tworzenie dokumentacji i strategii bezpieczeństwa: Opracowywanie, aktualizowanie i utrzymywanie technicznej dokumentacji bezpieczeństwa (np. procedur hardeningu, standardów secure coding, planów testów penetracyjnych).

• Analiza ryzyka i planowanie: Udział w procesie zarządzania ryzykiem, w tym tworzenie planów testów bezpieczeństwa oraz wsparcie w definiowaniu i wdrażaniu długoterminowej strategii bezpieczeństwa aplikacji.

• Raportowanie i komunikacja: Przygotowywanie szczegółowych raportów z testów i analiz bezpieczeństwa dla zespołów technicznych i kadry zarządzającej.

  
  

Wymagania

• Doświadczenie w bezpieczeństwie aplikacji webowych oraz bardzo dobra znajomość typowych podatności (OWASP Top 10, API Security Top 10).

• Praktyczna znajomość bezpieczeństwa PHP – umiejętność identyfikowania i naprawiania podatności w kodzie (m.in. SQLi, XSS, RCE, IDOR).

• Umiejętność analizy bezpieczeństwa REST API, w tym autoryzacji, uwierzytelniania, rate limiting oraz typowych problemów API.

• Znajomość serwerów webowych: nginx i Apache – konfiguracja, hardening, analiza logów, reguły bezpieczeństwa.

• Bardzo dobra znajomość SQL (PostgreSQL mile widziane): identyfikacja ryzyk w zapytaniach, bezpieczne wzorce, praca z bazami danych pod kątem zabezpieczeń.

• Praktyczne doświadczenie z Cloudflare lub innymi usługami brzegowymi (WAF, firewall rules, bot management).

• Umiejętność integracji i obsługi narzędzi bezpieczeństwa (SAST/DAST/SCA).

• Znajomość narzędzi do testów penetracyjnych (np. Burp Suite, zapytania ręczne, fuzzing).

• Umiejętność analizy logów i monitorowania bezpieczeństwa aplikacji oraz infrastruktury.

• Znajomość zasad bezpiecznego developmentu i dobrych praktyk secure coding.

• Umiejętność tworzenia scenariuszy ataków i zagrożeń na podstawie realnego przeznaczenia aplikacji.

  
  

Mile widziane

• Podstawowa znajomość JavaScript i rozumienie aspektów bezpieczeństwa warstwy frontendowej.

• Doświadczenie z frameworkami frontendowymi, zwłaszcza React * Znajomość konteneryzacji (Docker) lub CI/CD pod kątem integracji narzędzi bezpieczeństwa.

  
  

Oferujemy

• Stabilne zatrudnienie w organizacji wspierającej rozwój regionu.

• Możliwość realnego wpływu na kształt i poziom bezpieczeństwa organizacji.

• Dostęp do szkoleń, narzędzi oraz specjalistycznych rozwiązań IT Security.

• Przyjazne środowisko pracy oraz otwartość na inicjatywy usprawniające działanie organizacji.