не правильное мышление. Много аппсеков знаю из пентестеров вышедших. В девопсеки достаточно не сложно из иб выйти. Там программирование особо и не нужно. В аппсек программирование нужно, но больше на уровне чтения. Чаще там все стандартно достаточно. Болше надо знать про уязвимости разичные, их экаплуатацию и возникновение на уровне кода.
Ни эйчар, ни их руководители не осознают степень риска, для них это где то далеко, почитали хабр, посидели покурили, спросили кандидата про модель OSI, вот и день прошел