← Все вакансии

Инженер в команду безопасности Вертикалей

Яндекс / Общие сервисы Яндекса

Вертикали развивают сервисы объявлений Авто.ру, Яндекс Путешествия, Недвижимость и Аренда, которые помогают забронировать отель, найти машину или новый дом. Ваша работа будет напрямую влиять на безопасность сервисов, которые стали для пользователей надёжными помощниками. Вы будете погружаться в их разнородную архитектуру, участвовать в формировании процессов на ранних этапах и помогать создавать по‑настоящему надёжные цифровые решения, чтобы обеспечивать защищённость данных миллионов пользователей.

Задачи и обязанности

Обеспечение безопасности сервисов

Вам предстоит выявлять уязвимости в исходном коде, API, мобильных и веб-приложениях, участвовать в архитектурных дизайн-ревью безопасности, самостоятельно проводить внутренние аудиты продуктов и сопровождать внешние. Нужно будет внедрять и использовать DevSecOps-инструменты (SAST, DAST, SCA и другие), автоматизировать задачи по безопасности.

Консультирование команд по вопросам информационной безопасности

Вы будете консультировать команды Яндекса по вопросам безопасности, согласовывать критичные изменения в коде, инфраструктуре сервисов. Нужно будет эффективно взаимодействовать с командой разработки для совместного разбора выявленных уязвимостей и дальнейшего их устранения — например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.

Участие в проектах отдела безопасности

Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.

Больше о безопасности в Яндексе — в канале Yandex for Security

Требования

  • Анализировали защищённость веб-приложений от двух лет
  • Проектировали архитектурные сервисы и анализировали риски безопасности
  • Находите баги в исходном коде сервисов на Java, Kotlin, Python, Scala и PHP
  • Определяете корневую причину уязвимости, создаёте PoC и предлагаете меры снижения рисков
  • Аргументированно ведёте диалог со стейкхолдерами, используя риск-ориентированный подход
  • Выстраивали цикл безопасной разработки приложений (SDLC: SAST, DAST, IAST, SCA и пр.)
  • Умеете автоматизировать работу, используя Golang или Python
  • Уверенный пользователь Linux, знаете харденинги ОС и контейнеров

Дополнительные требования

  • Обеспечивали безопасность Docker, Kubernetes или Linux
  • Участвуете в Bug Bounty
  • Имеете собственные CVE, наработки и достижения в области безопасности мобильных и веб-приложений
  • Участвовали в CTF-соревнованиях или организовывали их
Python Java Kotlin Go PHP Scala Docker Kubernetes Linux

Похожие вакансии

Технический менеджер в команду безопасности персональных и финансовых сервисов
Яндекс / Общие сервисы Яндекса
SeniorMiddle Москва
Инженер по безопасности в команду инфраструктуры
Яндекс / Общие сервисы Яндекса
SeniorMiddle Москва
Тимлид команды безопасности Вертикалей
Яндекс / Общие сервисы Яндекса
Middle
Security engineer в Фантех
Яндекс / Общие сервисы Яндекса
SeniorMiddle Москва
Инженер по детектированию роботов
Яндекс / Общие сервисы Яндекса
SeniorMiddle Санкт-Петербург
Эксперт по сертификации СЗИ (информационная безопасность)
Ростелеком
Middle Г. Москва
Откликнуться →