Application security engineer
Application security engineer
Москва, улица Льва Толстого, 16
Метро: Парк культурыОписание вакансии
Команда Security Engineering помогает бизнесу обеспечивать продуктовую безопасность. Мы решаем разные задачи технической безопасности, от инфраструктуры до бизнес-логики приложений, таких сервисов, как Яндекс Go, Поиск, Реклама, Яндекс 360, Автономный транспорт и другие.
Какие задачи вас ждут
Обеспечение безопасности сервиса
Вам предстоит выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью в части ИБ, проводить аудиты. Вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие.
Вам предстоит выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью в части ИБ, проводить аудиты. Вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие.
Консультирование команд по вопросам ИБ
Вы будете консультировать другие команды Яндекса по вопросам безопасности. Например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.
Вы будете консультировать другие команды Яндекса по вопросам безопасности. Например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.
Участие в проектах отдела безопасности
Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.
Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.
Мы ждем, что вы
- Проводили анализ защищённости веб-приложений
- Занимались разработкой на Go, Python, С++ или на любом другом языке программирования, можете читать код на нескольких языках
- Знаете основы Linux (биты, IPC, сокеты, файлы)
- Умеете искать баги в исходном коде, подтверждать уязвимости, демонстрировать POC
- Можете правильно определить корневую причину возникновения уязвимости, готовы предлагать защитные меры
Будет плюсом, если вы
- Занимались обеспечением безопасности мобильных приложений
- Занимались обеспечением безопасности Docker, Kubernetes или Linux
- Выстраивали безопасную разработку, внедряли SAST/DAST в цикл CI/CD
- Участвовали в Bug Bounty, разборе, запуске Bug Bounty
- Умеете общаться с командами разработки, выступали в роли консультанта по безопасности
- Имеете собственный список CVE, а также наработки и достижения в области безопасности веб- и мобильных приложений (допустимо смещение знаний в сторону Offense с готовностью постигать Defence)
Навыки
- Appsec
- Application Security