Gitlab: Staff Product Security Architect

Wir suchen einen Staff Product Security Architect, der unserem Security Platforms & Architecture Team beitritt und als strategischer Sicherheitspartner für GitLabs Core DevOps-Organisation fungiert. In dieser Rolle arbeiten Sie direkt mit der technischen Leitung in unseren Plan-, Create-, Verify- und Package-Phasen zusammen, um Sicherheitsherausforderungen vorherzusehen, Risikominderungen voranzutreiben und eine sichere Entwicklung unserer CI/CD-Plattform zu ermöglichen.

Sie werden der primäre Sicherheitsarchitekt für Core DevOps sein und tiefes Fachwissen in den Bereichen Pipeline-Sicherheit, Quellcodeverwaltung und Risiken im DevOps-Toolchain entwickeln. Sie werden eng mit den technischen Leitern von Core DevOps zusammenarbeiten, um deren Fahrplan zu verstehen, frühzeitig auf aufkommende Sicherheitsbedürfnisse zu reagieren und umfassende Sicherheitsabdeckung durch unser Application Security-Team zu koordinieren. Dies ist eine hochsichtbare Rolle mit erheblichem Einfluss auf eines der kritischsten Produktbereiche von GitLab.

Was Sie tun werden:

• Als dedizierter Sicherheitsarchitekt und strategischer Partner für die funktionale Leitung von Core DevOps fungieren und ein tiefes Verständnis für deren Prioritäten, Herausforderungen und Fahrplan entwickeln.
• Sicherheitsarchitektur- und Designarbeit für strategische Core DevOps-Initiativen leiten und klare Richtungen sowie proaktive Anleitungen für funktionsübergreifende Teams bereitstellen.
• Systematische Sicherheitsrisiken im Product Security Risk Register im Zusammenhang mit CI/CD-Pipelines, Quellcodeverwaltung und DevOps-Workflows identifizieren, bewerten und reduzieren.
• Sicherheitsherausforderungen in bevorstehenden Core DevOps-Initiativen antizipieren und architektonische Lösungen vorschlagen, bevor sie kritische Implementierungsphasen erreichen.
• Mit Application Security-Ingenieuren koordinieren, um eine umfassende Sicherheitsüberprüfung sicherzustellen und Kontext sowie Prioritätsanleitungen für die Arbeit von Core DevOps bereitzustellen.
• Sicherheitsarchitekturprüfungen für große strategische Projekte in den Phasen Plan, Create, Verify und Package durchführen.
• Sicherheitsstandards und -muster spezifisch für CI/CD-Sicherheit entwickeln und kommunizieren, um Teams zu befähigen, eigenständig fundierte Sicherheitsentscheidungen zu treffen.
• Mit Mitgliedern des Security Research-Teams zusammenarbeiten, die proaktive Sicherheitsuntersuchungen im Bereich Core DevOps durchführen.
• Starke Beziehungen zur technischen Leitung von Core DevOps aufbauen, um Sichtbarkeit in wichtige Initiativen zu gewährleisten und Sicherheitsziele voranzutreiben.

Was Sie mitbringen:

• Tiefes Fachwissen in der CI/CD-Pipeline-Sicherheit, einschließlich Runner-Isolation, Geheimnisverwaltung, Artefaktsicherheit und Prävention von Lieferkettenangriffen.
• Starkes Verständnis der Sicherheit der Quellcodeverwaltung, einschließlich Merge-Request-Workflows, Sicherheit bei Codeüberprüfungen, Branchenschutz und Zugriffskontrollmuster.
• Nachweisliche Erfahrung in der Sicherung von DevOps-Toolchains und der Identifizierung systematischer Risiken in kontinuierlichen Integrations- und Bereitstellungssystemen.
• Nachgewiesene Fähigkeit, vertrauensvolle Beziehungen zur technischen Leitung aufzubauen und die technische Richtung durch Fachwissen und Zusammenarbeit zu beeinflussen.
• Erfahrung in proaktiver Sicherheitsarchitekturarbeit – Risiken identifizieren, bevor sie zu Vorfällen werden, und präventive Lösungen entwerfen.
• Starker Hintergrund in der Anwendungssicherheit mit Fachwissen in Authentifizierung/Autorisierung, Injektionsangriffen, Privilegieneskalation und Multi-Tenant-Isolation.
• Erfahrung in der Übersetzung komplexer Sicherheitskonzepte in klare, umsetzbare Empfehlungen für technische Zielgruppen.
• Fähigkeit, strategisch zu arbeiten und gleichzeitig technisch hands-on zu bleiben, wenn es nötig ist.

Nice to have: Erfahrung mit Container-Registry- und Paketmanagementsicherheit; kryptografischen Systemen und Schlüsselmanagement (SLSA-Rahmen); GraphQL-Sicherheit; KI-unterstützten Entwicklungsworkflows; Anforderungen an die Sicherheit von Regierungsbehörden (FedRAMP, NIST 800-171); Sicherheitsstandards und -rahmen (ISO 27001, SOC 2, PCI-DSS); und Quantifizierung von Risiken mit Sicherheitsmetriken oder Key Risk Indicators.

Über das Team: Sicherheitsarchitekten sind Teil unseres Security Platforms and Architecture-Teams, das komplexe Sicherheitsherausforderungen angeht, mit denen GitLab und seine Kunden konfrontiert sind, um GitLab zur sichersten Softwarefabrikplattform auf dem Markt zu machen. Zusammengesetzt aus Sicherheitsarchitektur, Sicherheitsforschung und Anwendungssicherheit konzentrieren wir uns auf systematische Produktsicherheitsrisiken und arbeiten funktionsübergreifend daran, diese zu mindern, während wir die Entwicklungsgeschwindigkeit der Ingenieure aufrechterhalten.

Im Geschäftsjahr 27 implementieren wir ein neues Organisationsmodell, bei dem jeder Architekt einem bestimmten Funktionsbereich von GitLabs Produkt gewidmet ist, was tiefere Kontexte, stärkere Beziehungen und proaktive Sicherheitsanleitungen ermöglicht. Als Core DevOps-Architekt werden Sie Teil eines Teams sein, das Architekten umfasst, die sich auf KI und den Sec-Bereich konzentrieren, und Möglichkeiten zur Zusammenarbeit bei übergreifenden Sicherheitsherausforderungen schaffen, während Sie spezialisierte Expertise in Ihrem Bereich aufrechterhalten.

Wie GitLab Sie unterstützen wird:

• Leistungen zur Unterstützung Ihrer Gesundheit, Finanzen und Ihres Wohlbefindens.
• Flexible bezahlte Freizeit.
• Teammitglied-Ressourcengruppen.
• Aktienvergütung und Mitarbeiteraktienkaufplan.
• Wachstums- und Entwicklungsfonds.
• Elternzeit.
• Unterstützung für das Homeoffice.

Wir begrüßen das Interesse von Kandidaten mit unterschiedlichen Erfahrungslevels; viele erfolgreiche Kandidaten erfüllen nicht jede einzelne Anforderung. Studien haben zudem gezeigt, dass Menschen aus unterrepräsentierten Gruppen weniger wahrscheinlich auf eine Stelle bewerben, es sei denn, sie erfüllen jede einzelne Qualifikation. Wenn Sie sich für diese Rolle begeistern, bewerben Sie sich bitte und lassen Sie unsere Recruiter Ihre Bewerbung bewerten.

Landesrichtlinien zur Einstellung: GitLab stellt neue Teammitglieder in Ländern auf der ganzen Welt ein. Alle unsere Rollen sind remote, jedoch können einige Rollen spezifische standortbezogene Zulassungsvoraussetzungen haben. Unser Talent Acquisition-Team kann nach Beginn des Rekrutierungsprozesses Fragen zu Standorten beantworten.

Datenschutzrichtlinie: Bitte überprüfen Sie unsere Datenschutzrichtlinie für die Rekrutierung. Ihre Privatsphäre ist uns wichtig.

GitLab ist stolz darauf, ein Arbeitsplatz mit Chancengleichheit zu sein und ein Arbeitgeber für positive Maßnahmen. Die Richtlinien und Praktiken von GitLab in Bezug auf Rekrutierung, Beschäftigung, Karriereentwicklung und -förderung, Beförderung und Ruhestand basieren ausschließlich auf Verdiensten, unabhängig von Rasse, Hautfarbe, Religion, Abstammung, Geschlecht (einschließlich Schwangerschaft, Stillzeit, sexueller Orientierung, Geschlechtsidentität oder Geschlechtsausdruck), nationaler Herkunft, Alter, Staatsbürgerschaft, Familienstand, geistiger oder körperlicher Behinderung, genetischen Informationen (einschließlich familiärer Krankengeschichte), Entlassungsstatus aus dem Militär, geschütztem Veteranenstatus (zu dem auch behinderte Veteranen, kürzlich entlassene Veteranen, aktive Kriegs- oder Kampfabzeichen-Veteranen und Veteranen mit Militärdienstmedaille gehören) oder aus einem anderen gesetzlich geschützten Grund. GitLab wird keine Diskriminierung oder Belästigung aufgrund dieser Merkmale tolerieren. Siehe auch GitLabs EEO-Richtlinie und EOO ist das Gesetz. Wenn Sie eine Behinderung oder besondere Bedürfnisse haben, die eine Anpassung erfordern, lassen Sie es uns bitte während des Rekrutierungsprozesses wissen.