Плюс Фантех — один из самых быстро растущих бизнесов внутри Яндекса. Наши команды развивают Кинопоиск, Музыку, Яндекс Афишу, Книги, Плюс Гейминг, Сказбуку и подписку Плюс, которая объединяет всю экосистему Яндекса. Миллионы зрителей, слушателей и подписчиков пользуются этими сервисами. Каждый день мы раздаём десятки тысяч терабайт контента, помогаем купить тысячи билетов и начисляем миллионы баллов Плюса. Ищем инженера, который поможет командам запускать защищённые сервисы и обеспечивать безопасность пользовательских данных и контента правообладателей.

Обязанности:

Безопасность фантех-сервисов
Вы будете выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью по информационной безопасности и проводить аудиты. Также вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие. Консультирование по ИБ
Вы будете консультировать другие команды Яндекса по вопросам безопасности: рассказывать, как правильно хранить критичные данные, интегрировать новый сервис или устранить уязвимость. Участие в проектах безопасности
Вместе с коллегами вы будете участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса. Больше о безопасности в Яндексе — в канале Yandex for Security

Ключевые навыки:

  • Можете разобраться в больших проектах
  • Понимаете код и ориентируетесь в популярных библиотеках и фреймворках: Java, Kotlin, JS, TS, Go, Python (бэкенд), Swift, Flutter (мобильные устройства), PHP, Ruby и .NET
  • Умеете находить технические и логические уязвимости

Дополнительные требования:

  • Работали с Semgrep, CodeQL, Burp Suite Enterprise, Nuclei и другими инструментами анализа защищённости
  • Участвовали в программах Bug Bounty
  • Являетесь автором пары CVE
  • Играли в CTF или были автором заданий
  • Хорошо знаете ОС Linux
  • Разбираетесь в облачных хранилищах