Security engineer в Фантех

Плюс Фантех — один из самых быстрорастущих бизнесов внутри Яндекса. Наши команды отвечают за Кинопоиск, Музыку, Афишу, Букмейт, Сказбуку и подписку Плюс, объединяющую всю экосистему Яндекса. Этими сервисами пользуются миллионы лояльных зрителей, слушателей и подписчиков. Каждый день мы раздаём десятки тысяч терабайт контента, помогаем купить тысячи билетов и начисляем миллионы баллов Плюса.

Мы ищем инженера, который поможет командам выкатывать защищённые сервисы, обеспечивать безопасность пользовательских данных и контент правообладателей.

Какие задачи вас ждут

Обеспечение безопасности Фантех-сервисов
Вам предстоит выявлять уязвимости в исходном коде или API веб-приложений, участвовать в архитектурных дизайн-ревью в части ИБ, проводить аудиты. Вы будете внедрять и использовать инструменты автоматизации процессов безопасности и оценки защищённости сервисов: SAST, DAST, SCA и другие.

Консультирование команд по вопросам ИБ
Вы будете консультировать другие команды Яндекса по вопросам безопасности. Например, рассказывать, как правильно организовать хранение критичных данных, интегрировать новый сервис или устранить уязвимость.

Участие в проектах отдела безопасности
Вместе с коллегами вам предстоит участвовать в разработках и инициативах, которые улучшают безопасность всего Яндекса.

Мы ждем, что вы

• Можете разобраться в больших проектах
• Понимаете код и ориентируетесь в популярных библиотеках и фреймворках:

Java/Kotlin, JS/TS, Go, Python (бэкенд), Kotlin, Swift, Flutter (мобильные устройства), PHP, Ruby и .NET

• Умеете находить технические и логические уязвимости

Будет плюсом, если вы

• Работали c Semgrep, CodeQL, Burp Suite Enterprise, Nuclei и другими инструментами анализа защищённости
• Участвовали в программах Bug Bounty
• Являетесь автором пары CVE
• Играли в CTF и/или были автором заданий
• Хорошо знаете ОС Linux
• Разбираетесь в облачных хранилищах

О команде

Больше о команде безопасности Яндекса