з/п не указана
Санкт-Петербург
От 3 до 6 лет
Миллионы людей ездят на работу на метро или машине, читают отзывы и выбирают, куда пойти. Всё это — на Яндекс Картах. Мы ищем опытного security-инженера, задачи которого будут влиять на безопасность наших пользователей каждый день.
Если вы любите искать нетривиальные уязвимости в коде, общаться с командами, делать процесс разработки безопаснее — приходите, мы вас ждём!
Какие задачи вас ждут
Обеспечение безопасности сервиса
Вам предстоит выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью в части ИБ, проводить аудиты. Вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие.
Вам предстоит выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью в части ИБ, проводить аудиты. Вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие.
Консультирование команд по вопросам ИБ
Вы будете консультировать другие команды Яндекса по вопросам безопасности. Например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.
Вы будете консультировать другие команды Яндекса по вопросам безопасности. Например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.
Участие в проектах отдела безопасности
Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.
Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.
Мы ждем, что вы
- Проводили анализ защищённости веб-приложений
- Занимались разработкой на Go, Python, С++ или на любом другом языке программирования, можете читать код на нескольких языках
- Знаете основы Linux (биты, IPC, сокеты, файлы)
- Умеете искать баги в исходном коде, подтверждать уязвимости, демонстрировать POC
- Можете правильно определить корневую причину возникновения уязвимости, готовы предлагать защитные меры
Будет плюсом, если вы
- Занимались обеспечением безопасности мобильных приложений
- Занимались обеспечением безопасности Docker, Kubernetes или Linux
- Выстраивали безопасную разработку, внедряли SAST/DAST в цикл CI/CD
- Участвовали в Bug Bounty, разборе, запуске Bug Bounty
- Умеете общаться с командами разработки, выступали в роли консультанта по безопасности
- Имеете собственный список CVE, а также наработки и достижения в области безопасности веб- и мобильных приложений (допустимо смещение знаний в сторону Offense с готовностью постигать Defence)
