AppSec SME — detection logic, тюнинг, разбор false positives, корпуса данных

Обязанности

• Разрабатывать и улучшать detection logic для классов уязвимостей в web, API и application security.
• Тюнинговать детекты: снижать false positives, повышать precision и recall.
• Строить и поддерживать корпуса данных: примеры уязвимого/исправленного кода, payload’ы, API patterns.
• Анализировать bug bounty-репорты, write-up’ы, CVE и реальные уязвимости.
• Разбирать false positives и false negatives.
• Работать с инженерами и runtime-командой над улучшением продукта.
• Использовать agentic coding и AI-инструменты для ускорения анализа.

Требования

• Сильный практический опыт в application security.
• Понимание основных классов уязвимостей: SSRF, SQLi, XSS, RCE, path traversal, deserialization, ошибки auth/authz, IDOR/BOLA, injection-атак.
• Опыт разбора уязвимостей и false positives.
• Опыт в bug bounty, пентестах, AppSec engineering или vulnerability research.
• Умение отличать теоретическую уязвимость от реально эксплуатируемой.
• Понимание современных web/API-приложений: фреймворки, middleware, auth flows.
• Готовность работать в AI-first процессе.

Будет плюсом

• Опыт в bug bounty-программах.
• Написание правил для Semgrep, CodeQL, кастомных SAST/DAST/IAST.
• Опыт с WAF, API security, RASP.
• Создание уязвимых приложений и CTF-задач.
• Знание Node.js, Python, Java, Go, PHP, Ruby, .NET.
• Опыт с LLM и AI-assisted security research.