Security engineer в Фантех

Плюс Фантех — один из самых быстро растущих бизнесов внутри Яндекса. Наши команды развивают Кинопоиск, Музыку, Яндекс Афишу, Книги, Плюс Гейминг, Сказбуку и подписку Плюс, которая объединяет всю экосистему Яндекса. Миллионы зрителей, слушателей и подписчиков пользуются этими сервисами. Каждый день мы раздаём десятки тысяч терабайт контента, помогаем купить тысячи билетов и начисляем миллионы баллов Плюса.

Ищем инженера, который поможет командам запускать защищённые сервисы и обеспечивать безопасность пользовательских данных и контента правообладателей.

Безопасность фантех-сервисов

Вы будете выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью по информационной безопасности и проводить аудиты. Также вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие.

Консультирование по ИБ

Вы будете консультировать другие команды Яндекса по вопросам безопасности: рассказывать, как правильно хранить критичные данные, интегрировать новый сервис или устранить уязвимость.

Участие в проектах безопасности

Вместе с коллегами вы будете участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.

Больше о безопасности в Яндексе — в канале Yandex for Security

* Можете разобраться в больших проектах
* Понимаете код и ориентируетесь в популярных библиотеках и фреймворках: Java, Kotlin, JS, TS, Go, Python (бэкенд), Swift, Flutter (мобильные устройства), PHP, Ruby и .NET
* Умеете находить технические и логические уязвимости

* Работали с Semgrep, CodeQL, Burp Suite Enterprise, Nuclei и другими инструментами анализа защищённости
* Участвовали в программах Bug Bounty
* Являетесь автором пары CVE
* Играли в CTF или были автором заданий
* Хорошо знаете ОС Linux
* Разбираетесь в облачных хранилищах