В Swordfish Security назвали самые дорогие специальности в DevSecOps

Яков Шпунт 23 Октября 2024 - 19:43

...

В Swordfish Security назвали самые дорогие специальности в DevSecOps

Директор по талантам ГК Swordfish Security Дарья Фигрукина назвала самые редкие и дорогостоящие специальности для DevSeсOps. Это инженер по защите контейнерных сред, инженер машинного обучения, специалист по защите искусственного интеллекта, архитектор в области защиты искусственного интеллекта.

По данным сервиса hh.ru, Application Security инженеру предлагают в среднем 300 тысяч рублей, что на 20% выше, чем годом ранее. ML-инженеры, по данным hh.ru, стали более востребованными — на 53% в годовом выражении. Средний уровень их заработка — немногим менее 300 тысяч рублей в месяц.

Что касается вакансий специалистов по защите ИИ, их количество, по данным рекрутингового портала, снизилось на 11% по сравнению с прошлым годом. Эксперты связывают это с тем, что для российского рынка работа с MLSecOps пока новое явление. Тем не менее за каждого такого специалиста работодатели держатся.

«Если говорить о рынке ИБ в целом, по нашим данным зарплаты в сфере безопасной разработки ПО за последний год выросли на 20% (по сравнению с 2023). Но, разумеется, некоторые редкие специалисты растут в цене гораздо быстрее коллег за счет своих уникальных компетенций», — рассказала Дарья Фигуркина, директора по талантам ГК Swordfish Security.

По данным сервиса hh.ru	ВАКАНСИИ			ЗАРПЛАТА, предлагаемая, медиана по РФ
	янв-сен 2023	янв-сен 2024	Дин., г/г	янв-сен 2023	янв-сен 2024	Дин., г/г
Инженер по защите контейнерных сред или Application Security инженер (Container Security)	283	336	19%	250 000 ₽	300 000 ₽	20%
Инженер машинного обучения (ML инженер),	53	81	53%	200 000 ₽	285 000 ₽	43%
Специалист по защите искусственного интеллекта (MLSecOps) MLSecOps Architect	385	341	-11%	120 000 ₽	175 000 ₽	46%

По данным сервиса hh.ru	ВАКАНСИИ			ЗАРПЛАТА, предлагаемая, медиана по РФ
	янв-сен 2023	янв-сен 2024	Дин., г/г	янв-сен 2023	янв-сен 2024	Дин., г/г
Go	3 698	4 840	31%	223 600 ₽	258 500 ₽	16%
Java	10 770	12 635	17%	191 400 ₽	193 800 ₽	1%
C#	3 356	3 608	8%	151 800 ₽	164 300 ₽	8%
Python	6 150	6 576	7%	168 100 ₽	174 900 ₽	4%
Typescript	544	569	5%	179 100 ₽	189 500 ₽	6%
JavaScript	1 322	1 278	-3%	124 600 ₽	143 500 ₽	15%

Особенность рынка DevSecOps в том, что поиск кандидатов и работа с разработкой безопасного ПО возможна только внутри страны. Это снижает риски, связанные с релокацией, но не позволяет привлекать кадры за границей, даже если речь идет о гражданах стран СНГ или россиянах, которые работают за рубежом.

При этом зарплатный уровень в этой сфере не зависит от региона внутри РФ. Также почти со 100% вероятностью нужный специалист будет работать в удаленном режиме.

«Рынок разработки безопасного ПО в России— это рынок соискателей, и, если в большинстве других профессий есть региональная разница в зарплатах, для удаленных сотрудников в сфере информационной безопасности ее не существует. У нас очень много Сибири и Урала. Там сильная высшая школа. Томский, Омский университеты имеют хорошую образовательную базу. Инженеров на удаленке в прошлом году у нас было 40%, в этом году эта цифра чуть выше — 44% сотрудников работают удаленно», — рассказала директор по талантам ГК Swordfish Security Дарья Фигуркина.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 14:41

Утечки информации Случайные утечки Случайное разглашение данных Домашние пользователи

Одноразовые СМС-ссылки годами открывают доступ к личным данным

Одноразовые ссылки, которые сервисы рассылают по СМС для входа или подтверждения действий, на практике часто оказываются вовсе не одноразовыми. Новое исследование показало, что такие URL могут годами оставаться активными и открывать доступ к персональным данным пользователей.

Исследователи собрали данные через публичные СМС-шлюзы — сайты, где отображаются сообщения, отправленные на временные номера.

В общей сложности специалисты проанализировали более 33 млн сообщений, связанных с 30 тыс. телефонных номеров, и извлекли около 323 тысячи уникальных ссылок, ведущих на 10,9 тыс. доменов.

Из примерно 147 тыс. доступных URL удалось выявить 701 конечную точку, раскрывающую персональные данные пользователей. Эти ссылки относились к 177 сервисам. В открытом доступе оказывались имена, номера телефонов, адреса, даты рождения, банковские реквизиты, номера социального страхования и кредитные данные. Во многих случаях одной ссылки хватало для сбора подробного профиля человека.

Особую тревогу вызвал срок жизни таких ссылок. Все 701 URL оставались рабочими на момент проверки. Более половины из них были возрастом от одного до двух лет, ещё 46% — старше двух лет, а некоторые датировались 2019 годом. По словам авторов исследования, чем дольше ссылка остаётся активной, тем выше риск её утечки — через пересылку сообщений, логи, взломанные устройства или повторное использование номеров.

Во всех подтверждённых случаях доступ к данным строился по принципу bearer-link: сама ссылка служила единственным «ключом» и не требовала дополнительной аутентификации. В 15 сервисах по таким URL можно было изменять персональные данные, а в шести случаях — фактически получить доступ к аккаунту пользователя.

Отдельной проблемой стали слабые токены. Около 73% сервисов использовали ссылки с низкой энтропией, которые можно было подобрать. В ряде случаев исследователям удавалось получить доступ к чужим данным менее чем за десять попыток.

Авторы исследования уведомили 150 компаний, чьи сервисы оказались уязвимыми. Ответили лишь 18, а реальные фиксы внедрили только семь. По мнению исследователей, сама модель доверия к СМС-ссылкам как «безопасному» каналу остаётся системной проблемой: пока такие механизмы проектируются ради удобства, а не безопасности, утечки данных будут неизбежны.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »