Аналитик по безопасности приложений (AppSec)

Обязанности

• Триаж уязвимостей и их сопровождение из OSA/SCA/SAST/DAST/fuzzing: создание PoC, ручные проверки и Bug Bounty (воспроизведение, оценка риска, приоритизация и контроль исправлений).
• Security Review и консультации для продуктовых команд: безопасная реализация (authn/authz, API security, валидация, доступы, файлы и т.п.).
• Тюнинг SAST/DAST и security gates в CI/CD: снижение шума, повышение качества сигналов, правила исключений и компенсирующие меры.
• Безопасность AI/LLM (новое направление): участие в запуске и развитии практик защиты для внутренних AI-агентов и развернутых моделей.
• Secure SDLC на практике: чек-листы, гайды, требования “без бюрократии”, точечное обучение команд.
• Kubernetes/runtime security: развитие guardrails и политик совместно с платформенной командой.
• WAF: поддержка и развитие защиты на периметре приложений — анализ атак, настройка/доработка правил, контроль ложных срабатываний.
• Метрики AppSec: MTTR/SLA по критичности, тренды по классам уязвимостей, регулярные обзоры с командами.

От кандидата ожидаем

• Знание уязвимостей web/app/mobile и практик защиты: уверенное понимание OWASP Top 10, CWE, API security, способность объяснять разработчикам “как чинить”.
• Опыт triage и risk-assessment: CVSS + бизнес-контекст, приоритизация, доведение до подтверждённого закрытия.
• Практика эксплуатации SAST/DAST: интерпретация, управление false positive/исключениями, безопасность CI/CD.
• Понимание WAF на практике: правила/исключения, разбор логов, баланс защиты, базовое понимание сигнатур/паттернов атак.
• База по Kubernetes и контейнерам: RBAC, secrets, ingress, securityContext, принципы policy/admission; опыт или готовность работать с Kyverno.
• Умение читать код: PHP, Python, JavaScript.
• Сильные коммуникации: работа с 20+ командами, договорённости по SLA, понятные рекомендации и доведение до результата.

Что может дать компания

• Забота о здоровье. Бесплатный доступ к телемедицине и очным приемам в частных клиниках (включая стоматологию и сессии с психологами).
• Обучение и развитие. Английский язык с корпоративным преподавателем и скидки на курсы в Skyeng, компенсация обучения от ведущих платформ на рынке.
• Сильная команда. Работайте в окружении профессионалов, у которых есть чему поучиться.
• Стабильность и комфорт. Официальное оформление, стабильные выплаты, оплата больничного и отпуска, современная техника.
• Спорт. Частичная компенсация спортивного абонемента, бесплатные занятия сквошем и футболом.
• Льготы. Условия ипотечного кредитования от банка.