Инженер в команду безопасности Вертикалей
Вертикали развивают сервисы объявлений Авто.ру, Яндекс Путешествия, Недвижимость и Аренда. Ищем инженера, который будет напрямую влиять на безопасность сервисов, погружаться в их архитектуру, участвовать в формировании процессов на ранних этапах и помогать создавать надёжные цифровые решения.Обеспечение безопасности сервисов
Вам предстоит выявлять уязвимости в исходном коде, API, мобильных и веб-приложениях, участвовать в архитектурных дизайн-ревью безопасности, самостоятельно проводить внутренние аудиты продуктов и сопровождать внешние. Нужно будет внедрять и использовать DevSecOps-инструменты (SAST, DAST, SCA и другие), автоматизировать задачи по безопасности.
Консультирование команд по вопросам информационной безопасности
Вы будете консультировать команды Яндекса по вопросам безопасности, согласовывать критичные изменения в коде, инфраструктуре сервисов. Нужно будет эффективно взаимодействовать с командой разработки для совместного разбора выявленных уязвимостей и дальнейшего их устранения — например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.
Участие в проектах отдела безопасности
Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.
Больше о безопасности в Яндексе — в канале Yandex for Security* Анализировали защищённость веб-приложений от двух лет
* Проектировали архитектурные сервисы и анализировали риски безопасности
* Находите баги в исходном коде сервисов на Java, Kotlin, Python, Scala и PHP
* Определяете корневую причину уязвимости, создаёте PoC и предлагаете меры снижения рисков
* Аргументированно ведёте диалог со стейкхолдерами, используя риск-ориентированный подход
* Выстраивали цикл безопасной разработки приложений (SDLC: SAST, DAST, IAST, SCA и пр.)
* Умеете автоматизировать работу, используя Golang или Python
* Уверенный пользователь Linux, знаете харденинги ОС и контейнеров* Обеспечивали безопасность Docker, Kubernetes или Linux
* Участвуете в Bug Bounty
* Имеете собственные CVE, наработки и достижения в области безопасности мобильных и веб-приложений
* Участвовали в CTF-соревнованиях или организовывали их