Кейс DatsTeam: как закрыть редкую вакансию Senior Application Security Engineer за 2,5 месяца
Задача: найти редкого специалиста уровня Senior+ в AppSec
Компания DatsTeam - продуктовая IT-команда, которая с 2012 года разрабатывает рекламные платформы, игры, мобильные приложения и финтех-решения. У компании распределенная команда разработки более чем из 800 специалистов, и рост собственных технологий привел к очевидной необходимости усилить направление безопасности приложений.
Запрос был нетривиальный: нужен не просто опытный инженер по безопасности, а Senior Application Security Engineer уровня senior/senior+, который возьмёт на себя фактическую роль лида и выстроит AppSec-направление "под ключ".
О том, кого искали
Искомая позиция: Senior Application Security Engineer
Уровень: Senior / Senior+ с лидерскими функциями
Кандидату требовались:
- 5-6+ лет практического опыта в области Application Security;
- глубокое знание:
- OWASP Top 10,
- RCE, SSRF, XSS, SQLi,
- LFI/RFI и других распространенных классов уязвимостей;
- умение проводить аудит исходного кода на нескольких языках:
- PHP, Java, Python, JavaScript/TypeScript, Go, .NET и др.;
- опыт работы с инструментами и подходами:
- SAST, DAST, IAST, SCA;
- понимание DevOps и CI/CD-процессов, интеграция security-инструментов в пайплайны;
- владение SSDLC-подходами:
- OWASP SAMM, BSIMM, Microsoft SDL;
- практический опыт внедрения DevSecOps-практик в продуктовую разработку.
Дополнительными плюсами считались:
- опыт работы с облачными платформами AWS / Azure / GCP;
- профильные сертификаты уровня OSWE, CISSP, CCSP и аналогичные.
При этом, к кандидату предъявлялись не только технические, но и стратегические ожидания.
Почему вакансия оказалась сложной
У направления Application Security в России пока относительно короткая история: опытных практиков на рынке заметно меньше, чем, например, классических специалистов по сетевой или инфраструктурной безопасности. Многие эксперты в ИБ чаще занимались аудитами, пентестами или комплаенсом, а не полноценным построением процессов AppSec внутри продуктовой разработки.
DatsTeam требовался человек, который:
- не ограничивается выполнением разовых аудитов, а способен строить систему;
- понимает, как интегрировать безопасность в жизненный цикл разработки;
- умеет разговаривать с разработкой "на одном языке";
- готов брать ответственность за формирование подходов, регламентов и инструментальной базы.
Ключевая задача позиции - выстроить направление Application Security с нуля:
- определить процессы и приоритеты;
- подобрать и внедрить инструменты;
- наладить взаимодействие с командами разработки и DevOps;
- формировать культуру безопасной разработки внутри компании.
До этого DatsTeam уже успела нанять middle-специалиста по AppSec с другого ресурса, но для стратегического развития требовался именно senior/senior+ - человек, на котором можно "повесить" методологию, архитектуру процессов и наставничество.
Площадка и инструменты: почему сделали ставку на Хабр Карьеру
Для поиска DatsTeam использовала несколько каналов, но решающую роль сыграла Хабр Карьера - сервис для поиска IT-специалистов внутри экосистемы Хабра.
Что важно о площадке:
- более 750 тысяч резюме IT-специалистов;
- свыше 50 тысяч резюме обновляются ежемесячно;
- каждая вакансия получает в среднем около 70 откликов;
- доступ к широкой базе в 1,7 млн IT-специалистов для активного поиска.
На фоне общей нехватки сильных AppSec-инженеров возможность одновременно работать с откликами и активно "достукиваться" до нужных людей через поиск кандидатов стала критичной.
Как строился поиск: сочетание публикации и таргетированного сорсинга
Стратегия DatsTeam состояла из двух параллельных потоков:
1. Публикация тщательно продуманной вакансии
Описание делали максимально честным и конкретным, с акцентом на:
- роль в построении направления, а не "просто инженер по безопасности";
- реальное влияние на процессы разработки;
- стек, с которым предстоит работать;
- ожидания по лидерским функциям.
2. Активный сорсинг через поиск на платформе
Рекрутер не ждал только откликов - он целенаправленно находил нужных специалистов по ключевым навыкам и опыту, а затем связывался с ними напрямую через функционал сервиса.
В итоге "тот самый" кандидат был найден именно в результате прямого контакта через платформу: совпали и опыт, и профессиональные интересы, и ожидания по роли.
На что делали упор в описании вакансии
DatsTeam осознанно ушла от шаблонного описания "ищем сильного специалиста по безопасности" и выделила ключевые моменты, которые особенно важны для senior-уровня в AppSec:
- Масштаб влияния:
можно не только анализировать уязвимости, но и формировать процессы и политику безопасности разработки.
- Возможность строить с нуля:
кандидат не "впрыгивает" в уже выстроенный отдел, а закладывает основу направления, влияет на выбор стека и подходов.
- Прозрачная зона ответственности:
честно проговорены ожидания: от технических задач до методологии и взаимодействия с командами разработки.
Верхнеуровневый посыл: это роль для человека, который хочет не просто "чинить уязвимости", а системно менять подход к безопасности в компании.
Воронка подбора: цифры и релевантность
За время поиска по этой позиции DatsTeam получила следующую статистику:
- всего откликов: около 150;
- взято в работу после первичного скрининга: примерно 30 (около 20%);
- дошли до интервью с нанимающим менеджером: около 10 человек (порядка 33% от тех, кого взяли в работу);
- финальный оффер: 1 кандидат (плюс ранее нанятый middle-специалист, который вышел за пару недель до него).
Релевантность откликов была смешанной:
- часть кандидатов действительно имела сильный background в Application Security;
- заметная доля соискателей приходила из более общего InfoSec, без фокуса на приложениях;
- нередко не хватало именно опыта выстраивания AppSec/DevSecOps-процессов, а не просто проведения аудитов или тестирований.
Тем не менее, за счет активного подхода к поиску удалось выстроить устойчивую воронку и не зависеть только от пассивных откликов.
Сроки закрытия и влияние отсутствия жесткого дедлайна
Несмотря на сложность профиля, позицию закрыли за 2,5 месяца. Для подобного уровня и редкости компетенций это весьма комфортный срок.
Сработали несколько факторов:
- изначальное понимание, что поиск будет непростым, без иллюзий о быстром найме;
- отсутствие жесткого временного дедлайна, что позволяло не идти на компромиссы по уровню кандидата;
- готовность инвестировать время в точную формулировку требований и диалог с редкими, но подходящими специалистами.
Дополнительно шёл поиск на других ресурсах, включая массовые job-площадки и профессиональные сети, однако именно кандидат, принявший оффер, был найден через Хабр Карьеру.
Какие выводы сделала компания о рынке AppSec
Работая над этой позицией, DatsTeam столкнулась с несколькими тенденциями:
1. Специалисты по Application Security - штучный товар
Много людей с общим опытом в информационной безопасности, но гораздо меньше тех, кто:
- глубоко разбирается в архитектуре приложений;
- умеет интегрировать безопасность в SDLC;
- готов работать плотно с разработкой, а не только с отчётной документацией.
2. Senior-уровень часто ассоциируется с аудитами, а не с процессами
Часть сильных специалистов по AppSec в основном выполняла разовые аудиты и пентесты, а опыт именно построения процессов в продуктовых командах встречается реже.
3. Кандидатам важен не только доход, но и "вес" роли
Чем выше уровень специалиста, тем больше интерес к:
- влиянию на технические решения;
- возможности выстраивать культуру безопасной разработки;
- участию в стратегическом развитии компании.
Что помогло сделать оффер привлекательным для senior AppSec
Помимо финансовой составляющей, важную роль в принятии решения кандидатом сыграли:
- понятная перспектива развития направления безопасности приложений;
- поддержка со стороны руководства в вопросах внедрения новых процессов;
- возможность выбирать инструменты и формировать стек под задачи компании;
- работа в крупной, но технологически ориентированной продуктовой команде с реальными нагрузочными системами;
- наличие уже нанятого middle-специалиста, которого можно развивать и менторить.
Таким образом, позиция выглядела не как "одиночный боец по безопасности", а как роль лидера и архитектора направления.
Практические рекомендации для компаний, которые ищут Senior AppSec
На основе этого кейса можно сформулировать несколько практических советов:
1. Формулируйте вакансию через задачи, а не через список технологий
Важнее описать, какие процессы человек будет выстраивать, как будет взаимодействовать с командами, какую культуру формировать.
2. Честно обозначайте масштаб ответственности
Senior в AppSec обычно ищет не просто "более высокую зарплату", а роль, где он может принимать решения и влиять на продукт.
3. Комбинируйте публикуемую вакансию с активным поиском
Надеяться только на отклики - рискованно, особенно когда специалистов мало. Целевой сорсинг по ключевым навыкам и опыту резко повышает шансы найти "того самого" кандидата.
4. Будьте готовы к диалогу о компромиссах
Иногда кандидат может быть силён в процессах, но менее силён в конкретных технологиях, или наоборот. Важно заранее определить, по каким параметрам вы готовы доучивать, а по каким - нет.
5. Закладывайте реалистичные сроки
Поиск редких специалистов требует времени. Планирование в горизонте нескольких месяцев для уровня senior/senior+ - нормальная практика.
Что важно со стороны кандидатов уровня Senior в AppSec
Для самих специалистов по Application Security этот кейс также показателен:
- четко структурированное резюме с описанием именно процессов (а не только стеков инструментов) помогает рекрутерам быстро оценить релевантность;
- опыт интеграции безопасности в CI/CD, описанный с конкретикой (какие пайплайны, какие инструменты, какие метрики улучшили), сильно повышает ценность профиля;
- указание практического участия в построении SSDLC, DevSecOps и обучении разработчиков демонстрирует лидерский потенциал;
- наличие профильных сертификатов и опыт с крупными продуктами может стать решающим фактором при выборе между несколькими сильными кандидатами.
Роль Хабр Карьеры в закрытии сложных IT-вакансий
В этом кейсе Хабр Карьера стала основной площадкой, где:
- удалось быстро получить пул релевантных откликов;
- была возможность точечно находить специалистов по конкретным ключевым навыкам;
- рекрутер смог выйти напрямую на сильного кандидата через инструменты поиска и коммуникации внутри сервиса.
В итоге именно такой комбинированный подход - грамотное описание вакансии плюс активный таргетированный поиск - позволил DatsTeam за 2,5 месяца закрыть редкую и сложную вакансию Senior Application Security Engineer и параллельно сформировать фундамент для дальнейшего развития направления AppSec в компании.
