Триаж уязвимостей и их сопровождение из OSA/SCA/SAST/DAST/fuzzing: создание PoC, ручные проверки и Bug Bounty (воспроизведение, оценка риска, приоритизация и контроль исправлений).
Security Review и консультации для продуктовых команд: безопасная реализация (authn/authz, API security, валидация, доступы, файлы и т.п.).
Тюнинг SAST/DAST и security gates в CI/CD: снижение шума, повышение качества сигналов, правила исключений и компенсирующие меры.
Безопасность AI/LLM (новое направление): участие в запуске и развитии практик защиты для внутренних AI-агентов и развернутых моделей.
Secure SDLC на практике: чек-листы, гайды, требования “без бюрократии”, точечное обучение команд.
Kubernetes/runtime security: развитие guardrails и политик совместно с платформенной командой.
WAF: поддержка и развитие защиты на периметре приложений — анализ атак, настройка/доработка правил, контроль ложных срабатываний.
Метрики AppSec: MTTR/SLA по критичности, тренды по классам уязвимостей, регулярные обзоры с командами.
От кандидата ожидаем
Знание уязвимостей web/app/mobile и практик защиты: уверенное понимание OWASP Top 10, CWE, API security, способность объяснять разработчикам “как чинить”.
Опыт triage и risk-assessment: CVSS + бизнес-контекст, приоритизация, доведение до подтверждённого закрытия.
Практика эксплуатации SAST/DAST: интерпретация, управление false positive/исключениями, безопасность CI/CD.
