Engenheiro de Segurança Sênior – Defesa Proativa em Node.js (exclusivamente remoto)

Descrição

Resumo: Este papel envolve liderar a iniciativa de Defesa Proativa em Node.js para o Imunify360, projetando e implementando uma camada de segurança em tempo de execução e integrando-a à pilha de segurança existente. Pontos de destaque: 1. Papel de engenharia de segurança em um ambiente verde (green-field) com impacto direto no produto 2. Foco no desenvolvimento profissional e em projetos desafiadores 3. Oportunidade de assumir a responsabilidade por uma nova camada de segurança em tempo de execução para o Imunify360 **CloudLinux** é uma empresa global com foco primário em trabalho remoto. Somos guiados por nossos princípios: fazer a coisa certa, priorizar os funcionários, sermos remotamente orientados e entregarmos infraestrutura Linux e produtos de segurança de alto volume e baixo custo que ajudam as empresas a aumentar a eficiência de suas operações. Cada pessoa em nossa equipe apoia os demais e faz o possível para garantir que todos tenham sucesso. Visite nosso site para obter mais informações https://cloudlinux.com/ O Imunify360 Security Suite é um produto da CloudLinux Inc., fabricante do sistema operacional #1 em segurança e estabilidade para provedores de hospedagem. O Imunify é uma solução inovadora de segurança projetada especificamente para servidores compartilhados e VPS/dedicados. A solução automatizada e de fácil utilização, com abordagem de segurança em seis camadas, oferece prevenção abrangente e completa contra ataques. **O que você fará** Você será responsável pela iniciativa de Defesa Proativa em Node.js — uma nova camada de segurança em tempo de execução para o Imunify360 que traz o mesmo modelo de proteção em processo já disponibilizado para PHP (autoimunidade PHP / bloqueio de código malicioso em tempo de execução) para o ecossistema Node.js. Atualmente, provedores de hospedagem que executam cargas de trabalho multi-inquilino em Node.js não possuem equivalente ao mod_security + Defesa Proativa em PHP: código malicioso, cargas úteis da cadeia de suprimentos e comportamentos pós-exploração são executados dentro do processo Node.js com todos os privilégios do inquilino. Seu trabalho consiste em preencher essa lacuna. **Concretamente, você:** * Projetará e lançará um agente de tempo de execução em Node.js que se integra ao ciclo de vida do V8/Node para rastrear e bloquear padrões de comportamento malicioso (cadeias de spawn de child_process, eval / construtores Function, exploração de poluição de protótipo, desserialização insegura, SSRF, travessia de caminho, gravações no sistema de arquivos em locais sensíveis, cadeias maliciosas de require() / importação dinâmica, envenenamento da cadeia de suprimentos no momento do carregamento). * Definirá o modelo de detecção: quais comportamentos serão bloqueáveis por política por padrão, quais gerarão apenas sinais e como as regras serão redigidas, distribuídas e versionadas juntamente com nosso pipeline existente de regras de Defesa Proativa. * Integrará o agente ao restante da pilha de segurança Imunify instalada no host, de modo que detecções, bloqueios e incidentes em Node.js fluam para o mesmo pipeline de telemetria, o mesmo repositório de eventos de back-end e a mesma interface administrativa de nossas outras camadas (WAF, IDS de host, proteção contra força bruta, verificador de malware, gerenciamento de patches). Isso será lançado como uma camada de primeira classe do Imunify360, não como uma ferramenta independente. * Garantirá sua segurança em produção em hospedagem compartilhada: baixa sobrecarga, isolamento entre inquilinos, compatibilidade com CageFS / LVE e resiliência contra inquilinos mal-intencionados que tentarão desabilitar ou burlar o agente. * Construirá o pipeline que converte descrições de CVEs e feeds de inteligência de ameaças em detecções implantadas. O sistema — e não um humano — ingere avisos, extrai o vetor de exploração, gera e testa candidatos a regras contra um corpus, e os implanta com a postura adequada de sinalização somente ou bloqueio. * Será responsável pelo loop de feedback fechado a partir de bloqueios em produção (verdadeiros positivos, falsos positivos, evasões) de volta para a próxima geração de regras. Trata-se de um papel em um ambiente verde (green-field), liderado por engenharia de segurança, com impacto direto no produto: as detecções que você escrever serão executadas em centenas de milhares de servidores. **Requisitos** **Obrigatórios:** * **Mentalidade de engenheiro de segurança:** pensa em superfícies de ataque, vetores de exploração e defesa em profundidade — não apenas em listas de verificação OWASP. Consegue ler uma descrição de CVE e reconstruir o vetor de exploração, não apenas o patch. * **Conhecimento de tempo de execução / exploração em múltiplas linguagens:** poluição de protótipo, desserialização, injeção de comandos, SSRF, travessia de caminho, envenenamento da cadeia de suprimentos — conhece por que esses vetores existem, não apenas que têm nomes. * **Desenvolvimento em nível de sistema:** daemon Linux, systemd, processos privilegiados, IPC, namespaces/cgroups, higiene de descritores de arquivo e sinais. * **Instinto de nível baixo / instrumentação:** já fez hooking, rastreamento ou interceptação de algo em produção — LD_PRELOAD, eBPF, ptrace, agentes JVM, sys.settrace do Python, pré-carregamento de runtime de linguagem, módulos de kernel. A tecnologia específica não importa; o instinto sim. **Desejável:** * Experiência em hospedagem compartilhada / ambientes multi-inquilino Linux: LVE, CageFS, ecossistemas de painéis de controle ou trabalhos análogos de isolamento entre inquilinos. * Conforto em trabalhar diretamente com CVEs e feeds de inteligência de ameaças como principais insumos do produto. **Benefícios** **O que há para você?** * Foco no desenvolvimento profissional. * Projetos interessantes e desafiadores. * Trabalho totalmente remoto com horários flexíveis, permitindo que você organize seu dia e trabalhe de qualquer local do mundo. * 24 dias pagos de férias por ano, 10 dias de feriados nacionais e licença médica ilimitada. * Compensação para seguro médico privado. * Reembolso para coworking e academia/esportes. * Orçamento para educação. * Oportunidade de receber uma recompensa pela ideia mais inovadora que a empresa possa patentear. Ao se candidatar a esta posição, você consente com o tratamento de seus dados pessoais conforme descrito em nossa Política de Privacidade (https://cloudlinux.com/candidate-privacy-notice), que fornece informações detalhadas sobre como mantemos e tratamos seus dados.