AppSec SME — detection logic, тюнинг, разбор false positives, корпуса данных

Чем предстоит заниматься

• Разрабатывать и улучшать detection logic для классов уязвимостей в web, API и application security.

• Тюнинговать детекты: снижать false positives, повышать precision и recall, разбирать спорные срабатывания.

• Строить и поддерживать корпуса данных: реальные и синтетические примеры уязвимого/исправленного кода, payload’ы, API patterns, exploit primitives, регрессионные кейсы.

• Анализировать bug bounty-репорты, write-up’ы, CVE и реальные уязвимости и превращать их в требования к детектам.

• Разбирать false positives и false negatives: понимать, почему детект сработал или не сработал, и как это исправить.

• Работать совместно с инженерами, data- и runtime-командой над улучшением продукта.

• Использовать agentic coding и AI-инструменты для ускорения анализа: генерация тестовых приложений, доработка корпусов, объяснение dataflow, поиск похожих паттернов, создание проверочных кейсов.

Что важно

• Сильный практический опыт в application security.

• Понимание основных классов уязвимостей: SSRF, SQLi, XSS, RCE, path traversal, deserialization, ошибки auth/authz, IDOR/BOLA, разные виды injection, проблемы при загрузке файлов, template injection, API abuse.

• Опыт разбора уязвимостей и false positives.

• Опыт в bug bounty, пентестах, AppSec engineering, product security, detection engineering или vulnerability research.

• Умение отличать теоретическую уязвимость от реально эксплуатируемой проблемы.

• Понимание того, как устроены современные web/API-приложения: фреймворки, middleware, auth flows, cloud integrations.

• Готовность работать в AI-first процессе и использовать agentic-инструменты для анализа, генерации корпусов и ускорения research.

Будет плюсом

• Опыт в bug bounty: StandOff, Bizone, HackerOne, Bugcrowd, приватные программы.

• Написание правил для Semgrep, CodeQL, кастомных SAST/DAST/IAST, taint analysis или detection-сигнатур.

• Опыт с WAF, API security, RASP, runtime protection.

• Создание учебных уязвимых приложений, CTF-задач, регрессионных наборов и benchmark-корпусов.

• Знание популярных стеков: Node.js, Python, Java, Go, PHP, Ruby, .NET.

• Понимание реальной эксплуатируемости, exploit chains и attacker mindset.

• Опыт работы с LLM и AI-assisted для целей security research.

Что предлагаем

• Роль с большим влиянием на качество detection-движка и продукта в целом.

• Задачи на стыке AppSec, vulnerability research, AI-assisted analysis и product security.

• Возможность строить корпуса и detection-методологию, а не просто разбирать алерты.

• AI-first культуру: agentic coding и LLM используются ежедневно и осмысленно.

• Удалённый или гибридный формат.

• Сильную команду, техническую автономию и конкурентную компенсацию.