Аналитик по безопасности приложений (AppSec)

Чем предстоит заниматься:

• Триаж уязвимостей и их сопровождение из OSA/SCA/SAST/DAST/fuzzing: создание PoC, ручные проверки и bug bounty (воспроизведение, оценка риска, приоритизация и контроль исправлений);
• Security-review и консультации для продуктовых команд: безопасная реализация (authn/authz, API security, валидация, доступы, файлы и т.п.);
• Тюнинг SAST/DAST и security gates в CI/CD: снижение шума, повышение качества сигналов, правила исключений и компенсирующие меры;
• Безопасность AI/LLM (новое направление): участие в запуске и развитии практик защиты для внутренних AI-агентов и развернутых моделей;
• Secure SDLC на практике: чек-листы, гайды, требования “без бюрократии”, точечное обучение команд;
• Kubernetes/runtime security: развитие guardrails и политик совместно с платформенной командой;
• WAF: поддержка и развитие защиты на периметре приложений — анализ атак, настройка/доработка правил, контроль ложных срабатываний;
• Метрики AppSec: MTTR/SLA по критичности, тренды по классам уязвимостей, регулярные обзоры с командами.​​​​​​​

От кандидата ожидаем:

• Знание уязвимостей web/app/mobile и практик защиты: уверенное понимание OWASP Top 10, CWE, API security, способность объяснять разработчикам “как чинить”;
• Опыт triage и risk-assessment: CVSS + бизнес-контекст, приоритизация, доведение до подтверждённого закрытия;
• Практика эксплуатации SAST/DAST: интерпретация, управление false positive/исключениями, безопасность CI/CD;
• Понимание WAF на практике: правила/исключения, разбор логов, баланс защиты, базовое понимание сигнатур/паттернов атак;
• База по Kubernetes и контейнерам: RBAC, secrets, ingress, securityContext, принципы policy/admission; опыт или готовность работать с Kyverno;
• Умение читать код: PHP, Python, JavaScript;
• Сильные коммуникации: работа с 20+ командами, договорённости по SLA, понятные рекомендации и доведение до результата.

Что может дать СберЗдоровье:

• Забота о здоровье: Бесплатный доступ к телемедицине и очным приемам в частных клиниках (включая стоматологию и сессии с психологами);
• Обучение и развитие: Английский язык с корпоративным преподавателем и скидки на курсы в Skyeng, компенсация обучения от ведущих платформ на рынке;
• Сильная команда: Работайте в окружении профессионалов, у которых есть чему поучиться;
• Стабильность и комфорт: Официальное оформление, стабильные выплаты, оплата больничного и отпуска, современная техника;
• Спорт: Частичная компенсация спортивного абонемента, бесплатные занятия сквошем и футболом;
• Льготы: Условия ипотечного кредитования от Сбербанка.