Vercel: Senior Product Security Engineer

Über das Unternehmen

Vercel stellt Entwicklern Werkzeuge und Cloud-Infrastruktur zur Verfügung, um ein schnelleres, personalisiertes Web zu bauen, zu skalieren und abzusichern. Das Team hinter Next.js, v0 und AI SDK unterstützt Kunden wie Ramp, Supreme, PayPal und Under Armour beim Aufbau AI-nativer Webprodukte.

Die Mission von Vercel ist es, der Welt zu ermöglichen, die besten Produkte auszuliefern. Dafür schafft das Unternehmen einen Arbeitsraum, in dem alle ihr Bestes geben können – ob in Produktentwicklung, Kundenbetreuung oder Kommunikation: Bei Vercel kann man liefern.

Aufgaben

• Durchführung von Threat Modeling und Design-Reviews in Zusammenarbeit mit Engineering- und Produktteams, um Risiken frühzeitig zu identifizieren und Gegenmaßnahmen vorzuschlagen.
• Sichere Code-Reviews von Produkten und Services (insbesondere Next.js, Node.js und serverlose Backends) sowie Erarbeitung von Remediation-Empfehlungen und Best Practices.
• Leitung der Open-Source-Security: Überwachen, Koordinieren und Beheben von Schwachstellen in genutzten Paketen und in eigenen Open-Source-Projekten.
• Evaluation, Integration und Automatisierung von SDLC-Sicherheitswerkzeugen (z. B. GHAS, SAST, DAST, Dependency-Scanner, Secret-Detection) in CI/CD-Pipelines.
• Betreuung und Ausbau des Bug-Bounty-Programms: Triage, Validierung, Koordination von Fixes und Gestaltung von Richtlinien/Scope zur Förderung hochwertiger Einreichungen.
• Führen organisationsübergreifender Sicherheitsinitiativen und Agieren als Security-Champion zur Durchsetzung dauerhafter Sicherheitsverbesserungen.
• Kundenorientierte Sicherheitsunterstützung: Erstellung von Sicherheitsdokumentation, Unterstützung bei Fragebögen/Audits und Kommunikation von Sicherheitsfunktionen.

Voraussetzungen

• Mindestens 5 Jahre Erfahrung in Product Security oder vergleichbaren Rollen mit nachweisbarer Erfahrung beim Absichern von Webprodukten und -services.
• Starke Kenntnisse in JavaScript/TypeScript und Node.js sowie Erfahrung mit modernen Webframeworks (idealerweise Next.js/React).
• Erfahrung in Threat Modeling, Architektur-Risikoanalysen und Integration von Security in schnelle SDLC-Prozesse.
• Praktische Erfahrung mit Security-Tooling (SAST, DAST, Dependency-Scanner, Secret-Detection) und CI/CD-Integration; Erfahrung mit GitHub Advanced Security von Vorteil.
• Kenntnisse in Open-Source- und Supply-Chain-Security sowie Erfahrung im Umgang mit Vulnerability-Advisories und Tools wie Dependabot oder Snyk.
• Erfahrung mit Bug-Bounty-/Vulnerability-Disclosure-Prozessen: Bewertung, Reproduzierung und Koordination von Behebungen.
• Verständnis für Cloud- und Serverless-Sicherheit und Fähigkeit zur technischen Führung über Teams hinweg.

Benefits

• Wettbewerbsfähiges Vergütungspaket inklusive Aktienanteilen (Equity).
• Umfassendes, inklusives Gesundheitsangebot.
• Weiterbildung und Mentoring sowie Teilnahme an relevanten Konferenzen und Events.
• Flexible Freistellung (Flexible Time Off).
• Bereitstellung der benötigten Arbeitsausstattung und WFH-Budget für die Einrichtung des Homeoffice.