Vývojáři
Hledáme nové kolegy
Chceš se technologicky podílet na vývoji a rozšíření lovebrandu ČSFD, jednoho z nejnavštěvovanějších serverů v ČR? Aktuálně hledáme kolegu na pozici senior Python programátor.
Na čem se budeš podílet:
- vývoj systémů, které používá webové aplikace ČSFD.cz
V čem budeš pracovat:
- Python (převážně) a PHP
- PostgreSQL pro ukládání dat a RabbitMQ pro zpracování front
- přičichneš si k tvorbě API a jeho dokumentování
- vyzkoušíš si jaké to je psát aplikaci distribuovanou na několika serverech, optimalizaci HTTP požadavků, SQL dotazů
- budeš v týmu s dalšími zkušenými kolegy, od kterých se můžeš hodně naučit a kteří budou otevřeni tvým nápadům
- naučíš se testovat kód na všech úrovních a kontrolovat kvalitu kódu svých kolegů (oni na oplátku hodí oko na ten tvůj)
Co bys měl ideálně mít:
- výbornou znalost Python 3 a alespoň základní znalost PHP
- znalost PostgreSQL, psaní triggerů a procedur
- povědomí, že existuje Elasticsearch a RabbitMQ
- pokud něco z výše uvedeného neznáš, nic se neděje, stačí, že máš chuť se učit novým věcem a my ti vše rádi ukážeme :-)
- schopnost spolupráce v týmu (nehledáme osamělé vlky :-)
- alespoň 2 roky praxe v oboru
Co ti na oplátku nabídneme my:
- zázemí prosperující společnosti
- opravdu flexibilní pracovní dobu
- možnost práce z domova (s občasným setkáváním s týmem v kancelářích)
- finanční ohodnocení dle tvého přínosu, znalostí a zkušeností, nárůst cca každé dva roky (záleží jak rychle budeš dělat pokroky)
- možnost návštěvy školení a konferencí
- příležitost účastnit se ČSFD projekcí (pokud máš rád filmy, dostaneš se na uzavřené předpremiéry)
Nástup je možný ihned a práce je možná i na IČ. Preferujeme práci na plný úvazek, ale jsme ochotni se domluvit i na úvazku menším. Kanceláře máme v centru Prahy u I. P. Pavlova.
V případě zájmu pošli svůj životopis nebo odkaz na LinkedIn na [email protected].
Bug bounty program
Ač se v ČSFD snažíme ze všech sil, aby naše aplikace neměly žádné (a už vůbec ne bezpečnostní) chyby, tak zároveň víme, že mít aplikaci úplně bez chyb je nemožný úkol.
Proto chceme tebe, našeho návštěvníka zapojit do hledání bezpečnostních chyb na našich stránkách a rádi tě za to i odměníme!
Pravidla odměňování
Podle následujících pravidel budeme odměňovat nalezené bezpečnostní chyby na ČSFD:
- odměna patří pouze prvnímu reportujícímu uživateli, který danou chybu nahlásí
- každý účastník, který chybu najde, je vázán mlčenlivostí (to znamená, že nebude podrobnosti o chybě poskytovat třetí straně, nesmí chyby využívat ke sbírání dat o uživatelích ČSFD a vynaloží veškeré úsilí, aby při bezpečnostsním testování neomezil dostupnost stránek ČSFD)
- nepočítají se chyby nalezené za pomoci skenovacích nástrojů
- stejně tak se odměna nevztahuje na chyby na komponentách třetích stran
- report musí obsahovat detailní popis (případně video), jak lze chybu replikovat
- výše odměny se liší případ od případu a bude posuzována individuálně (záleží na závažnosti chyby), odměna za nalezenou chybu činí maximálně 5 000 Kč
- navíc bude každý úspěšný účastník (v případě zájmu) zveřejněn na této stránce
Nalezené chyby posílej na e-mail [email protected].
Pro šifrovanou komunikaci použijte PGP klíč.
Síň slávy (uživatelé, kteří našli chyby)
jacker
Tabnabbing, XSS |
Martin Černáč
(neoprávněné mazání obrázků v uživatelském profilu) |
Kamil Vavra
(API: XSS, stealing oauth token) |
LDuK
(CSRF) |
Martin Bajaník
(XSS) |
Milan Kyselica
(vícenásobné odeslání formuláře) |
Ján Koliba
(chybná implementace HSTS) |
Jakub Záruba
(CSRF) |
BoldaCZ
(CSRF) |
Richard Strnad
(vložení obrázků z cizích domén do uživatelského profilu) |
Ondřej Exner
(CSRF v diskuzích) |
Marcel Ouška
(XSS) |
René Kroka
(XSS) |
David Němec
(open curl) |
René Kroka
(XSS) |
Kamil Vavra
(IDOR: bazar, filmotéka) |
Adam Mariš
(open redirect) |
Kinshuk Kumar
(chybějící DNS CAA záznam) |
Michal Bambuch
(XSS v našeptávači) |