Кто такой AppSec-инженер и какой стек стоит за безопасным кодом в 2026

AppSec-инженер следит за тем, чтобы дыра в приложении не доехала до пользователей: читает чужой код глазами взломщика и спорит с командой, у которой горят сроки. Платят от 150 000 ₽ на старте и до 450 000 ₽ опытным, а требования ГОСТ на безопасную разработку загоняют таких людей в штат даже туда, где раньше хватало одного аудита в год. Разобрали, чем он отличается от DevSecOps и пентестера и какой стек придётся освоить, чтобы вас позвали на собеседование.
Статью написал:
Ваня Буявец, продюсер, основатель Checkroi
Ваня Буявец
Основатель Checkroi, продюсер, эксперт в выборе онлайн-курсов
Все 1655 статей автора Подписаться на Телеграм-канал
Одобрено экспертом:
Наташа Буявец, основатель Checkroi, эксперт по онлайн-курсам
Наташа Буявец
Основательница Checkroi, продюсер Youtube-каналов, эксперт по онлайн-курсам
Все 2316 экспертных мнений Подписаться на Телеграм-канал
Обложка: Кто такой AppSec инженер и какой стек стоит за безопасным кодом в 2026

AppSec-инженер отвечает за то, чтобы уязвимость не доехала до продакшена: он встраивает проверки безопасности в цикл разработки, разбирает находки сканеров и объясняет разработчикам, как переписать опасный код. Спрос растёт вслед за требованиями регуляторов. ГОСТ Р 56939 на безопасную разработку обновили в 2024 году, и компании, которые раньше обходились одним аудитом в год, теперь держат безопасность приложений в штате. В вакансиях 2026 года такие инженеры стартуют от 150 000 ₽, а сильные специалисты в банках и крупных ИТ-компаниях выходят за 400 000 ₽.

Разбираем, чем AppSec отличается от DevSecOps-инженера и пентестера, какие специализации есть внутри профессии, из чего состоит рабочий стек и как выглядит обычный день. Цифры по деньгам взяты из открытых вакансий на Хабр Карьере и в ИБ-подборках за первое полугодие 2026 года, фактура по инструментам взята из обзоров российского рынка SAST и DAST. Если профессия уже понятна и хочется сразу смотреть программы, они собраны в каталоге курсов по информационной безопасности.

Курсы по Информационная безопасностьКурсыСравнение 124 курсов по информационной безопасностиЦены, школы, длительность, рассрочка

Кто такой AppSec-инженер простыми словами

Application Security engineer, он же инженер по безопасности приложений. Он не пишет продуктовый код и не защищает серверы от внешних атак. Он отвечает за сам софт: как приложение спроектировано, какие данные через себя пропускает, что произойдёт, если в поле ввода прилетит не то, что ожидал разработчик. AppSec-инженер смотрит на код и архитектуру глазами атакующего, но работает при этом внутри команды разработки.

AppSec-инженер Рой изучает код приложения на мониторе

Профессия выросла из простого наблюдения: находить уязвимость на этапе дизайна дёшево, а после релиза дорого и стыдно. Поэтому AppSec появляется в проекте раньше всех. Помогает сформулировать требования по безопасности, настраивает автоматические проверки в CI/CD, разбирает их находки и учит команду не наступать на одни и те же грабли. Это ветка более широкой профессии, специалиста по информационной безопасности, с фокусом строго на приложениях.

Коротко о сути. Пентестер приходит проверить готовое приложение снаружи, а AppSec-инженер живёт внутри процесса разработки и делает так, чтобы проверять было почти нечего.

AppSec-инженер против DevSecOps, пентестера и ИБ-специалиста

Все четыре роли занимаются безопасностью, и в маленьких компаниях их часто совмещает один человек. Но зоны ответственности разные, и на собеседовании путаница между ними видна сразу. Главный водораздел проходит по тому, что именно специалист держит в руках: код, пайплайн, отчёт об атаке или политику компании.

Специалист Что держит в руках Когда включается Главный результат Чего обычно не делает
AppSec-инженер Код и архитектура приложения С дизайна и до релиза, постоянно Уязвимости не попадают в релиз, разработчики знают как писать безопасно Не строит инфраструктуру, не расследует инциденты
DevSecOps-инженер CI/CD-пайплайн и инфраструктура На этапе сборки и доставки Автоматика сама блокирует опасный деплой Редко разбирает бизнес-логику приложения вручную
Пентестер, этичный хакер Готовое приложение снаружи Точечно, проектом на 2–4 недели Отчёт с подтверждёнными уязвимостями Не чинит найденное и не меняет процессы
Специалист по кибербезопасности Периметр, сеть, СЗИ, политики Постоянно, по всей компании Компания защищена от внешних угроз Не работает с исходным кодом продукта
Форензик Следы уже случившейся атаки После инцидента Восстановленная картина взлома Не участвует в разработке

Самая частая путаница возникает между AppSec и DevSecOps. Проще всего развести их так: DevSecOps строит конвейер, AppSec отвечает за то, что по конвейеру едет. Там, где DevSecOps встроит сканер в каждый pull request и настроит блокировку сборки, AppSec откроет конкретную находку, поймёт, эксплуатируется она или это false positive, и сядет с автором кода переписывать функцию. Роли соседние, и переходы между ними в обе стороны — обычное дело.

Чем занимается AppSec-инженер: основные задачи

Рой разбирает поток находок сканера и сортирует их по важности

День состоит не из героического взлома, а из потока мелких решений: что важнее чинить, кому это делать и как объяснить, почему это вообще проблема. Типовой набор задач выглядит так:

  • Триаж уязвимостей. Сканеры выдают сотни находок за прогон, и большая часть из них шум. Инженер отделяет реальные проблемы от false positive, расставляет приоритеты по эксплуатируемости и заводит задачи в трекер разработки.
  • Ручной code review на безопасность. Логические дыры автоматика не ловит: скидка, которую можно применить дважды, чужой заказ, доступный по подобранному id. Это ищут глазами.
  • Threat modeling. На этапе дизайна разбирают, кто и зачем будет атаковать фичу, где хранятся данные и что случится при компрометации каждого узла.
  • Security requirements. Формулируют требования к фиче до того, как её начали писать: какая аутентификация, где нужны лимиты запросов, что логировать и что логировать нельзя.
  • Настройка и тюнинг инструментов. SAST и DAST из коробки бесполезны. Правила подгоняют под конкретный стек и кодовую базу, иначе команда просто перестаёт читать отчёты.
  • Обучение разработчиков и security champions. В каждой команде выращивают человека, который разбирается в безопасности лучше остальных и служит первой линией фильтра.
  • Работа с внешними находками. Разбор отчётов от пентестеров и заявок из bug bounty, проверка воспроизводимости, контроль сроков исправления.

Отдельная и неочевидная часть работы это дипломатия. AppSec приходит к команде с новостью, что фичу, которую делали три недели, надо переписать. Инженер, который умеет объяснить риск на языке продукта и предложить рабочую альтернативу, ценится выше того, кто просто присылает отчёт сканера с красными строчками.

Ваня Буявец, продюсер, основатель CheckroiВаня Буявец, основатель CheckroiПоказываю, как применять Claude Code, ChatGPT и другие нейросети в учёбе и работе, с примерами и промптамиЧитать в Телеграме

Специализации внутри AppSec и ставки

Название вакансии почти всегда одно, а работа внутри разная: её определяет то, что за продукт защищают. Ставки ниже даны как ориентир по вакансиям первого полугодия 2026 года для специалиста с двумя-тремя годами опыта.

Специализация С чем работает Ставка, ₽/мес Кому подходит
Web AppSec Веб-приложения, API, классика OWASP Top 10 180 000 – 300 000 Бывшим бэкендерам и веб-пентестерам
Mobile AppSec iOS и Android: хранение токенов, обфускация, reverse engineering 200 000 – 330 000 Мобильным разработчикам
Cloud и контейнеры Kubernetes, права сервисов, secret management 230 000 – 380 000 Тем, кто пришёл из DevOps
Product Security в финтехе Платёжная логика, антифрод, требования ЦБ 250 000 – 450 000 Усидчивым и внимательным к регуляторике
Supply chain security Сторонние библиотеки, SCA, зависимости и лицензии 200 000 – 320 000 Любителям автоматизации и скриптов
AppSec-архитектор Процесс SSDLC во всей компании, а не отдельный продукт 350 000 – 500 000 Опытным инженерам с 5+ годами в профессии

Самый широкий вход даёт Web AppSec: там больше всего вакансий, самый понятный набор знаний и больше всего материалов для самостоятельного старта. Финтех и облака платят выше, но туда почти не берут без предыдущего опыта в разработке или эксплуатации.

Курсы по КибербезопасностьКурсыСравнение 60 курсов по кибербезопасностиЦены, школы, длительность, рассрочка

Стек AppSec-инженера: SAST, DAST, SCA и что между ними

Инструменты делятся по тому, в какой момент и на что они смотрят. Ни один класс не заменяет другой: SAST видит код, но не понимает контекст выполнения, DAST видит поведение, но не знает, где именно в коде проблема. Российские аналоги указаны отдельно: для компаний с требованиями по импортозамещению это обязательное условие.

Класс На что смотрит Когда запускается Популярные инструменты Российские решения
SAST Исходный код без запуска На каждый pull request Semgrep, CodeQL, SonarQube Solar appScreener, Svace, PT Application Inspector
DAST Работающее приложение снаружи На тестовом стенде перед релизом OWASP ZAP, Burp Suite PT BlackBox, Solar appScreener
SCA Сторонние библиотеки и зависимости При сборке, постоянно Dependency-Track, OWASP DC CodeScoring
Secret scanning Пароли и ключи, забытые в репозитории На каждый коммит gitleaks, trufflehog Встроено в отечественные платформы
Threat modeling Архитектуру до написания кода На старте фичи STRIDE, доска и маркер Методика та же, инструмент не нужен

Отдельно стоит Burp Suite, главный инструмент для ручной проверки веб-приложения. Именно в нём инженер повторяет находку сканера руками, чтобы понять, эксплуатируется она в реальности или красный флаг поставлен зря. Без навыка ручной работы AppSec превращается в оператора кнопки «сканировать», а такого специалиста рынок оценивает заметно скромнее.

Инструменты AppSec-инженера, разложенные на рабочем столе

Про базу знаний. OWASP Top 10 и CWE Top 25 в этой профессии работают как рабочий словарь: на них ссылаются в отчётах, в задачах разработчикам и на любом собеседовании.

Как проходит рабочий день AppSec-инженера

Работа делится между реактивной частью (разобрать то, что нападало за ночь) и проактивной (успеть повлиять на то, что ещё не написано). Второе постоянно проигрывает первому, и удержать баланс это главное умение в профессии.

10:00–11:00 — разбор ночных сканов

Пайплайн отработал ночью и оставил список находок. Инженер быстро проходит по критичным: часть закрывает как false positive, часть подтверждает и заводит задачи. На хорошо настроенном проекте это полчаса, на запущенном до половины дня.

11:00–12:30 — ревью и разбор с командой

Разбор конкретной находки с автором кода: где проблема, чем грозит, как переписать. Здесь же вопросы разработчиков в рабочем чате, от «можно ли хранить токен вот так» до «нам прислали странный запрос, это атака?».

13:30–15:00 — threat modeling новой фичи

Встреча с продуктом и архитектором по фиче, которая уйдёт в разработку через две недели. Разбирают потоки данных и точки входа, фиксируют требования по безопасности. Самый ценный час дня: решение, принятое здесь, экономит недели переделок.

15:00–17:00 — ручная работа и тюнинг

Ручная проверка модуля в Burp, донастройка правил SAST под стек проекта, чтобы в следующий раз сканер не заваливал команду шумом. Сюда же попадают разбор отчёта пентестеров и проверка заявок из bug bounty.

17:00–18:00 — метрики и бумага

Сколько уязвимостей закрыто в срок, где просрочка, что показывать на комитете по безопасности. Плюс документы под требования регулятора, часть работы, которую в вакансиях описывают скупо, а времени она съедает прилично.

За кадром остаётся фон: чтение отчётов об атаках на похожие продукты, разбор свежих CVE в используемых библиотеках, эксперименты на своём стенде. В профессии, где технологии меняются быстрее, чем выходят учебники, это часть рабочих обязанностей, а не факультатив.

Что должен знать и уметь AppSec-инженер

Профессиональные знания

  • Умение читать код. Писать продакшен необязательно, но понимать чужой Python, Go, Java или JavaScript и видеть в нём опасную логику придётся.
  • OWASP Top 10 и CWE Top 25 на уровне «объясню механику и покажу на живом примере», а не «слышал аббревиатуру».
  • Веб-технологии до основания: HTTP, сессии и токены, CORS, механика XSS, SQL-инъекций, SSRF и обхода авторизации.
  • Инструменты анализа: SAST, DAST, SCA. Настройка, тюнинг правил и трезвое понимание их пределов.
  • Скриптинг: Python или Bash для автоматизации рутины и склейки инструментов между собой.
  • Устройство CI/CD: как собирается и доезжает до сервера то, что вы проверяете.
  • Криптография на прикладном уровне: где нужен какой алгоритм, как хранить пароли и почему нельзя изобретать своё.

Личные качества

  • Паранойя в рабочих дозах, привычка спрашивать «а что, если сюда придёт не то, что мы ждём».
  • Терпимость к рутине: девять находок из десяти окажутся шумом, и разбирать надо все десять.
  • Умение объяснять и договариваться. Половина работы это переговоры с командой, у которой горят сроки.
  • Устойчивость к спорам: позиция «это надо переписать» редко встречает аплодисменты.
  • Постоянное самообучение, потому что техники атак обновляются быстрее любой программы обучения.

Сильного инженера отличает неочевидный навык, умение молчать про мелочи. Если каждую найденную ерунду нести команде как катастрофу, к настоящей критичной находке вас перестанут слушать. Приоритизация здесь важна не меньше, чем чтение кода.

Стандарты и регулирование: ГОСТ Р 56939, ФСТЭК и OWASP

В России безопасная разработка перестала быть доброй волей компании. Это меняет профессию: заметная часть работы AppSec посвящена соответствию требованиям, а техника занимает не весь день.

  1. ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения», базовый стандарт отрасли. Его обновили в 2024 году. Описывает, какие меры должны быть встроены в цикл разработки, включая статический и динамический анализ кода.
  2. Требования ФСТЭК обязательны для тех, кто делает софт для государственных информационных систем и значимых объектов КИИ.
  3. Реестр отечественного ПО. Если продукт идёт туда, инструменты проверки тоже должны быть российскими и поддерживать нужные стандарты.
  4. Профили защиты ЦБ РФ для финансовых приложений, с отдельными требованиями к анализу уязвимостей.
  5. OWASP ASVS и SAMM — международные методики, не регуляторика: первая описывает требования к приложению, вторая оценивает зрелость самого процесса безопасной разработки.

Практический вывод для новичка: знание отечественных стандартов и инструментов даёт преимущество на найме. Специалистов, свободно владеющих Burp и OWASP, на рынке хватает. Тех, кто вдобавок понимает, как закрыть требования ГОСТ и ФСТЭК на живом проекте, заметно меньше.

Плюсы и минусы профессии AppSec-инженер

Рой доволен результатом — приложение защищено

Профессия выглядит привлекательно снаружи: высокая зарплата, интеллектуальные задачи, дефицит кадров. Изнутри у неё есть цена, о которой в вакансиях не пишут.

Плюсы:

  • Зарплаты выше, чем у разработчиков сопоставимого уровня. Дефицит специалистов держит рынок соискателя.
  • Не устаревает: пока пишут код, будут писать уязвимый код.
  • Широкий кругозор, потому что вы видите все продукты компании и общаетесь со всеми командами.
  • Прозрачный рост: до AppSec-архитектора, руководителя направления или в консалтинг с почасовой ставкой.
  • Формат работы гибкий, значительная часть вакансий удалённые или гибридные.

Минусы:

  • Порог входа высокий. Без базы в разработке или ИБ войти почти нереально, вакансий для полных новичков мало.
  • Роль конфликтная: вы регулярно приносите плохие новости людям со сроками.
  • Ответственность несимметрична. Сто предотвращённых проблем незаметны, один пропущенный инцидент виден всем.
  • Много рутины и бумаги, особенно в компаниях под регуляторикой.
  • Учиться придётся всегда, и в основном в свободное время.

Профессия подойдёт тем, кто уже поработал с кодом и любит разбирать чужие решения на части, задавая неудобные вопросы. Не подойдёт тем, кто хочет быстрый вход в ИТ с нуля или плохо переносит роль человека, который тормозит релиз.

Канал основателя Checkroi Вани БуявцаПоказываю тебе, как публично строю Checkroi с нейросетями и делюсь цифрами, провалами и тем, что сработалоПодписаться

Сколько зарабатывает AppSec-инженер

Разброс широкий: от 150 000 ₽ у джуна с опытом разработки за спиной до 450 000–500 000 ₽ у архитектора безопасной разработки в крупном банке. Середина рынка для инженера с двумя-тремя годами опыта держится около 250 000 ₽.

Платят по двум сценариям. Продуктовые ИТ-компании и банки берут в штат: там выше вилка, есть годовые бонусы, но и требования по регуляторике жёстче. Консалтинг и интеграторы работают проектно и ценят широту: специалист успевает пощупать десяток разных продуктов за год, зато глубина по каждому меньше. Отдельная добавка к доходу это bug bounty, но как основной источник дохода охота за уязвимостями работает у единиц.

География роли почти не влияет: направление удалённое, и московские вилки доступны из любого города. Куда сильнее платит опыт разработки. Бывший бэкендер стартует в AppSec выше, чем человек с чистым ИБ-бэкграундом без практики программирования.

Курсы по Специалист по кибербезопасностиКурсыСравнение 65 курсов для специалистов по кибербезопасностиЦены, школы, длительность, рассрочка

Как стать AppSec-инженером

Путей два, и оба идут через смежную профессию. Из разработки: вы уже читаете код, остаётся добрать техники атак, инструменты и стандарты; это обычно 6–12 месяцев подготовки без отрыва от текущей работы. Из пентеста или системного администрирования: вы понимаете, как ломают, но придётся всерьёз подтянуть чтение кода и устройство разработки.

Каркас подготовки одинаковый: разобрать OWASP Top 10 на практике, освоить Burp и один SAST, набить руку на тренировочных стендах, разобраться с CI/CD и российскими стандартами. Профессиональная переподготовка по информационной безопасности закрывает теорию и даёт документ, который спрашивают в госсекторе и банках, а международная сертификация вроде OSCP или CEH работает как доказательство практики: обе строчки в резюме помогают пройти первичный отбор, но на собеседовании всё равно попросят разобрать код. Полный разбор пути с планом по месяцам и разбором ошибок новичков есть в статье как стать специалистом по информационной безопасности. Если решаете вопрос поступления после школы, предметы и вузы разобраны в материале что сдавать на информационную безопасность.

Совет тем, кто выбирает старт. Если стоит выбор между «сначала стать разработчиком» и «сразу учить безопасность», год в разработке окупится: читать код на собеседовании попросят обязательно.

Где учиться на AppSec-инженера

Отдельных программ строго под AppSec на рынке мало: направление молодое, и обучение обычно собирают из курсов по информационной безопасности с блоком безопасной разработки, курсов по пентесту веб-приложений и практики на тренировочных площадках. Смотреть стоит на то, есть ли в программе реальная работа с SAST и Burp, а не только теория по классификациям уязвимостей.

Ниже собраны программы по информационной безопасности с фильтрами по цене, формату и уровню: можно сравнить продолжительность, наличие практики и стоимость.

КурсШколаСтоимость со скидкойВ рассрочкуДлитель­ностьОбзор курса от Checkroi
Кибербезопасность
Перейти на сайт курса
НетологияНетология200 000 ₽465 ₽/мес.24 месяцаОбзор курса
Онлайн-магистратура МИФИ "Информационная безопасность"
Перейти на сайт курса
SkillFactorySkillFactory225 ₽225 ₽/мес.24 месяцаОбзор курса
Информационная безопасность (Бакалавриат)
Перейти на сайт курса
Университет СинергияСинергия440 000 ₽36 667 ₽/мес.4 yearsОбзор курса
Профессия «Специалист по кибербезопасности»
Перейти на сайт курса
SkillboxSkillbox178 533 ₽4606 ₽/мес.12 месяцевОбзор курса
ДО Кибербезопасность и приложения на Python
Перейти на сайт курса
Skillbox KidsSkillbox Kids74 400 ₽250 000 ₽/мес.Обзор курса
Кибербезопасность + ИИ для детей
Перейти на сайт курса
Компьютерная академия TOPАкадемия ТОПБесплатно4480 ₽/мес.6 месяцевОбзор курса
Специалист по кибербезопасности - курс переподготовки
Перейти на сайт курса
АПОК — Академия профессионального образования кадровАПОК32 980 ₽2748 ₽/мес.400 часовОбзор курса
Информационная безопасность компании. Повышение квалификации
Перейти на сайт курса
Moscow Business SchoolМБШ23 900 ₽23 900 ₽/мес.Обзор курса
Кибербезопасность в информационных системах
Перейти на сайт курса
МИТУ — Московский Институт Технологий и УправленияМИТУ45 000 ₽7500 ₽/мес.Обзор курса
Информационная безопасность - курс переподготовки
Перейти на сайт курса
АПОК — Академия профессионального образования кадровАПОК32 980 ₽5496 ₽/мес.256 часовОбзор курса

Больше программ — в полном каталоге курсов по информационной безопасности

Главное о профессии AppSec-инженер

AppSec-инженер защищает сам продукт, а не периметр компании: разбирает находки сканеров, ищет логические дыры глазами, задаёт неудобные вопросы на этапе дизайна и учит разработчиков не повторять ошибки. От DevSecOps его отличает фокус на коде вместо пайплайна, от пентестера отличает постоянная работа внутри команды вместо разового отчёта. Рабочий стек держится на трёх классах инструментов, SAST, DAST и SCA, плюс ручная проверка в Burp и threat modeling на старте фичи.

Деньги в профессии высокие, от 150 000 ₽ на старте до 450 000 ₽ и выше у архитекторов, но платят их за высокий порог входа: без опыта в разработке или ИБ сюда почти не попасть. Зато направление растёт вместе с требованиями ГОСТ Р 56939 и ФСТЭК, работает удалённо и не грозит устареть. Пока люди пишут код, кто-то должен искать в нём дыры.

Часто задаваемые вопросы

Чем AppSec-инженер отличается от DevSecOps-инженера?

Разница в зоне ответственности: DevSecOps строит конвейер доставки кода, а AppSec отвечает за то, что по этому конвейеру едет. DevSecOps встроит сканер в каждый pull request и настроит блокировку опасного деплоя, а AppSec откроет конкретную находку, разберётся, эксплуатируется она или это ложное срабатывание, и сядет с автором кода переписывать функцию. Роли соседние, переходы между ними в обе стороны — обычное дело. Подробный разбор смежной профессии есть в статье кто такой DevSecOps-инженер.

Чем AppSec-инженер отличается от пентестера?

Пентестер приходит проектом на 2–4 недели, проверяет готовое приложение снаружи и оставляет отчёт с подтверждёнными уязвимостями. Он не чинит найденное и не меняет процессы разработки. AppSec-инженер работает внутри команды постоянно: участвует в дизайне фичи, разбирает находки сканеров, объясняет разработчикам, как переписать опасный код. Часто именно AppSec принимает и разбирает отчёт пентестера.

Какое образование нужно, чтобы стать AppSec-инженером?

Диплом по информационной безопасности помогает, но решает не он. В вакансиях смотрят на умение читать код и знание техник атак: на собеседовании почти всегда просят разобрать фрагмент кода и найти в нём уязвимость. Большинство приходит в профессию из разработки или из пентеста, добирая недостающую половину знаний через курсы и практику на тренировочных стендах.

Сколько зарабатывает AppSec-инженер в 2026 году?

По открытым вакансиям первого полугодия 2026 джун с опытом разработки за спиной стартует примерно от 150 000 ₽, специалист с двумя-тремя годами опыта получает около 250 000 ₽, а архитектор безопасной разработки в крупном банке выходит на 450 000–500 000 ₽. География почти не влияет: направление удалённое, и московские вилки доступны из любого города.

Можно ли стать AppSec-инженером с нуля, без опыта в IT?

Практически нет. Вакансий для полных новичков на рынке мало: работа требует читать чужой код и понимать, как устроена разработка, а этому не научиться за пару месяцев курсов. Реальный путь с нуля занимает два шага: сначала год-полтора в разработке или на позиции ИБ-специалиста, затем переход в AppSec. Прямой вход возможен только у выпускников профильных вузов с сильной практикой.

Какие инструменты использует AppSec-инженер?

Основа стека — три класса инструментов: SAST для анализа исходного кода без запуска, DAST для проверки работающего приложения снаружи и SCA для контроля сторонних библиотек. Из зарубежных популярны Semgrep, CodeQL, OWASP ZAP и Burp Suite, из российских — Solar appScreener, PT Application Inspector, Svace и CodeScoring. Отдельно стоит Burp Suite: в нём находку сканера повторяют руками, чтобы отсеять ложные срабатывания.

Как проходит рабочий день AppSec-инженера?

Утро уходит на разбор находок, которые оставили ночные сканы: часть закрывается как ложные срабатывания, часть уходит задачами в разработку. Дальше идёт разбор конкретных уязвимостей с авторами кода и ответы на вопросы команды в чате. После обеда — моделирование угроз для фич, которые пойдут в разработку через пару недель, ручная проверка модулей и донастройка правил сканеров. Конец дня закрывают метрики и документы под требования регулятора.

Где может работать AppSec-инженер?

Два основных сценария. Продуктовые ИТ-компании, банки и финтех берут в штат: вилка выше, есть годовые бонусы, но требования по регуляторике жёстче. Консалтинг и интеграторы работают проектно: специалист успевает пощупать десяток разных продуктов за год, зато глубина по каждому меньше. Значительная часть вакансий удалённые или гибридные.

Какая специализация в AppSec самая востребованная?

Web AppSec — безопасность веб-приложений и API по классике OWASP Top 10. Там больше всего вакансий, самый понятный набор знаний и больше всего бесплатных материалов для самостоятельного старта, поэтому направление считается самым широким входом в профессию. Финтех и облачная безопасность платят выше, но туда почти не берут без предыдущего опыта в разработке или эксплуатации.

Нужно ли AppSec-инженеру знать российские стандарты?

Это заметное преимущество на найме. ГОСТ Р 56939 на разработку безопасного ПО обновили в 2024 году, к нему добавляются требования ФСТЭК для государственных систем и объектов КИИ, а также профили защиты ЦБ для финансовых приложений. Специалистов, свободно владеющих Burp и OWASP, на рынке хватает, а тех, кто вдобавок понимает, как закрыть требования ГОСТ и ФСТЭК на живом проекте, заметно меньше.

Оставить комментарий
0 комментариев
Форма комментария

Оставьте комментарий

Напишите, что думаете. Нам важно ваше мнение!