Security engineer (вендорные решения)

Наша команда заботится о защищённости всех внутренних сервисов и процессов Яндекса. Но иногда внутри сервисов используются не только собственные, но и внешние решения, за надёжную защиту которых мы тоже в ответе. Ищем инженера, которому интересно решать нетривиальные задачи по части безопасности вендорных решений и систем и анализировать их защищённость (в том числе методом black-box).

• Выявлять уязвимости в исходном коде, коде API и веб-приложений
• Участвовать в архитектурных ревью по безопасности
• Самостоятельно проводить аудиты продуктов
• Согласовывать критичные изменения в коде и инфраструктуре сервисов
• Внедрять и использовать DevSecOps-инструменты (SAST, DAST, SCA, etc.), автоматизировать задачи по безопасности
• Совместно с командой разработки разбирать выявленные уязвимости и устранять их

• Занимались безопасностью веб-приложений, эксплуатацией уязвимостей в них
• Наработали практические навыки с современными DevOps-технологиями с фокусом на безопасность (k8s, eBPF, Terraform, HashiCorp Vault, Ansible, Helm)
• Знаете Linux и механизмы безопасности (capabilities, Seccomp, cgroups, namespaces)

• Занимались анализом безопасности проприетарных решений

• Работу в сильной команде, с которой можно расти
• Сложные задачи для сервисов с миллионами пользователей
• Возможность влиять на процесс и результат
• Зарплату на уровне рынка и выше
• Премии каждые полгода для всех, кто успешно прошёл ревью
• Расширенную программу ДМС, оплату 80% стоимости ДМС для супругов и детей
• Гибкий график работы