Security engineer в Поиск

Ищем опытного security-инженера в сердце Яндекса — Поиск. Вы будете решать задачи, затрагивающие безопасность миллионов пользователей и десятков продуктов.

Если вы любите искать нетривиальные уязвимости в коде, общаться с командами, делать процесс разработки безопаснее – приходите, мы вас ждем!

Какие задачи вас ждут

Выявлять уязвимости в исходном коде, в API, мобильных и веб-приложениях
Участвовать в архитектурных ревью по безопасности
Самостоятельно проводить аудиты продуктов, сопровождать внешние аудиты
Разбирать уязвимости из Bug Bounty и внешних аудитов, контролировать исправления
Согласовывать критичные изменения в коде, инфраструктуре сервисов
Внедрять и использовать DevSecOps-инструменты (SAST, DAST, SCA, etc.), автоматизировать задачи по безопасности
Взаимодействовать с командой разработки для совместного разбора выявленных уязвимостей и дальнейшего их устранения.

Мы ждём, что вы

Имеете опыт проведения анализа защищенности веб-приложений
Умеете искать баги в исходном коде, подтверждать уязвимости, демонстрировать POC
Можете правильно определить корневую причину возникновения уязвимости, предлагать защитные меры
Разрабатывали на одном из языков программирования (Go, Python, С++ и других), можете читать код на нескольких языках
Знаете основы Linux (биты, IPC, сокеты, файлы).

Будет плюсом, если вы

Умеете общаться с командами разработки, выступали в роли консультанта по безопасности
Занимались обеспечением безопасности Docker, Kubernetes или Linux
Имеете опыт выстраивания безопасной разработки, внедрения SAST/DAST в цикл CI/CD
Участвовали в Bug Bounty, разборе, запуске Bug Bounty
Имеете собственные CVE, наработки и достижения в области безопасности веб- и мобильных приложений. Допустимо смещение знаний в сторону Offense с готовностью постигать Defence.