DevOps Security Engineer

Über das Unternehmen

Decentralized Masters ist ein profitables Ökosystem im Bereich Bildung und Investment mit über 4.000 vermögenden Investoren. Das Unternehmen entwickelt eine Portfolio von Softwareprodukten, darunter Legacy Wallet – eine nicht-verwaltete Web3 Wallet mit Begünstigtenschutz und nahtlosem DeFi-Zugang – sowie ein Trading Bot für automatisierte Krypto-Ausführungen.

Über die Rolle

Als DevOps Security Engineer sind Sie die zentrale Person für die Sicherheit einer Plattform, die Hunderte von Millionen in digitalen Assets verwaltet. Sie kombinieren tiefgreifende Sicherheitsexpertise mit Qualitätssicherung, Infrastruktur-Management und vollstack-Entwicklung. Sie sind kein Auditor oder Berater – Sie sind ein Ingenieur, der Code schreibt und shipped, während Sie gleichzeitig alles andere schwerer zu brechen machen.

Hauptaufgaben

Sicherheit (Primär)

• Verantwortung für die Sicherheit aller Produkte: Legacy Wallet, Trading Bot und zukünftige Plattformen
• Regelmäßige Penetrationstests, Schwachstellen-Assessments und Threat Modeling nach OWASP-Standards
• Sicherheitsfokussierte Code Reviews über Frontend, Backend und Infrastruktur-Code
• Implementierung und Verwaltung von Secrets Management (Vault, AWS Secrets Manager, KMS)
• Aufbau und Verwaltung von Incident-Response-Playbooks und Post-Mortem-Prozessen
• Überwachung von Web3- und Krypto-spezifischen Angriffsszenarien (Phishing, Wallet-Exploits, Supply-Chain-Attacken)
• Koordination externer Security-Audits durch Drittanbieter

Qualitätssicherung & Testing (Primär)

• Design und Implementierung von Test-Strategien: Unit-, Integrations-, End-to-End-, API- und Regressionstests
• Aufbau automatisierter Test-Frameworks und CI Quality Gates
• Definition und Verfolgung von Qualitätsmetriken (Test Coverage, Flakiness Rate, Bug Escape Rate)
• Durchführung von Security-Test-Cases für Authentifizierung, Autorisierung und Eingabevalidation
• White-Box- und Black-Box-Testing über den gesamten Stack

Infrastruktur & DevOps (Grundlage)

• Verwaltung und Verbesserung der AWS-Cloud-Infrastruktur mit Infrastructure as Code (Terraform/CloudFormation)
• Eigenverantwortung für CI/CD-Pipelines (GitHub Actions): automatisiertes Testing, Security Scanning, Deployment
• Infrastruktur-Härtung: Netzwerksicherheit, IAM-Richtlinien, Container-Sicherheit
• Logging, Monitoring und Alerting (CloudWatch, Prometheus, Grafana)
• Audit Trails für Benutzeraktionen und Systemänderungen
• Production Reliability und Incident Response

Fullstack-Entwicklung (Wenn die Festung sicher ist)

• Beitrag zu Production Code mit Security-First-Mindset
• Feature-Entwicklung, Bug-Fixes und Verbesserungen alongside dem Engineering Team
• Architektur-Diskussionen mit Fokus auf Testbarkeit, Zuverlässigkeit und Sicherheit

Anforderungen

Erforderliche Qualifikationen

• 5+ Jahre in Softwareentwicklung mit nachgewiesener, praktischer Sicherheits- und QA-Erfahrung
• Fullstack-Entwicklungserfahrung: Frontend (React oder äquivalent) und Backend (Node.js, Python, Go oder äquivalent)
• Praktische Penetrationstests- und Schwachstellen-Assessment-Erfahrung
• Starke OWASP-Kenntnisse (Top 10, Testing Guide, Secure Coding Practices)
• Aufbau automatisierter Test-Frameworks und CI/CD-Integration
• AWS-Expertise (EC2, ECS/EKS, Lambda, VPC, IAM, S3, RDS, CloudFront, WAF)
• Infrastructure as Code Erfahrung (Terraform, CloudFormation, Pulumi)
• Container-Technologien: Docker und Kubernetes in Produktionsumgebungen
• Scripting und Automation: Bash und Python
• Erfahrung mit Secrets-Management-Tools (HashiCorp Vault, AWS Secrets Manager)
• Vertrautheit mit Security- und Testing-Tools (Burp Suite, OWASP ZAP, Selenium, Cypress, Jest, Postman)