AppSec-инженер отвечает за то, чтобы уязвимость не доехала до продакшена: он встраивает проверки безопасности в цикл разработки, разбирает находки сканеров и объясняет разработчикам, как переписать опасный код. Спрос растёт вслед за требованиями регуляторов. ГОСТ Р 56939 на безопасную разработку обновили в 2024 году, и компании, которые раньше обходились одним аудитом в год, теперь держат безопасность приложений в штате. В вакансиях 2026 года такие инженеры стартуют от 150 000 ₽, а сильные специалисты в банках и крупных ИТ-компаниях выходят за 400 000 ₽.
Разбираем, чем AppSec отличается от DevSecOps-инженера и пентестера, какие специализации есть внутри профессии, из чего состоит рабочий стек и как выглядит обычный день. Цифры по деньгам взяты из открытых вакансий на Хабр Карьере и в ИБ-подборках за первое полугодие 2026 года, фактура по инструментам взята из обзоров российского рынка SAST и DAST. Если профессия уже понятна и хочется сразу смотреть программы, они собраны в каталоге курсов по информационной безопасности.
КурсыСравнение 124 курсов по информационной безопасностиЦены, школы, длительность, рассрочка
Кто такой AppSec-инженер простыми словами
Application Security engineer, он же инженер по безопасности приложений. Он не пишет продуктовый код и не защищает серверы от внешних атак. Он отвечает за сам софт: как приложение спроектировано, какие данные через себя пропускает, что произойдёт, если в поле ввода прилетит не то, что ожидал разработчик. AppSec-инженер смотрит на код и архитектуру глазами атакующего, но работает при этом внутри команды разработки.

Профессия выросла из простого наблюдения: находить уязвимость на этапе дизайна дёшево, а после релиза дорого и стыдно. Поэтому AppSec появляется в проекте раньше всех. Помогает сформулировать требования по безопасности, настраивает автоматические проверки в CI/CD, разбирает их находки и учит команду не наступать на одни и те же грабли. Это ветка более широкой профессии, специалиста по информационной безопасности, с фокусом строго на приложениях.
Коротко о сути. Пентестер приходит проверить готовое приложение снаружи, а AppSec-инженер живёт внутри процесса разработки и делает так, чтобы проверять было почти нечего.
AppSec-инженер против DevSecOps, пентестера и ИБ-специалиста
Все четыре роли занимаются безопасностью, и в маленьких компаниях их часто совмещает один человек. Но зоны ответственности разные, и на собеседовании путаница между ними видна сразу. Главный водораздел проходит по тому, что именно специалист держит в руках: код, пайплайн, отчёт об атаке или политику компании.
| Специалист | Что держит в руках | Когда включается | Главный результат | Чего обычно не делает |
|---|---|---|---|---|
| AppSec-инженер | Код и архитектура приложения | С дизайна и до релиза, постоянно | Уязвимости не попадают в релиз, разработчики знают как писать безопасно | Не строит инфраструктуру, не расследует инциденты |
| DevSecOps-инженер | CI/CD-пайплайн и инфраструктура | На этапе сборки и доставки | Автоматика сама блокирует опасный деплой | Редко разбирает бизнес-логику приложения вручную |
| Пентестер, этичный хакер | Готовое приложение снаружи | Точечно, проектом на 2–4 недели | Отчёт с подтверждёнными уязвимостями | Не чинит найденное и не меняет процессы |
| Специалист по кибербезопасности | Периметр, сеть, СЗИ, политики | Постоянно, по всей компании | Компания защищена от внешних угроз | Не работает с исходным кодом продукта |
| Форензик | Следы уже случившейся атаки | После инцидента | Восстановленная картина взлома | Не участвует в разработке |
Самая частая путаница возникает между AppSec и DevSecOps. Проще всего развести их так: DevSecOps строит конвейер, AppSec отвечает за то, что по конвейеру едет. Там, где DevSecOps встроит сканер в каждый pull request и настроит блокировку сборки, AppSec откроет конкретную находку, поймёт, эксплуатируется она или это false positive, и сядет с автором кода переписывать функцию. Роли соседние, и переходы между ними в обе стороны — обычное дело.
Чем занимается AppSec-инженер: основные задачи

День состоит не из героического взлома, а из потока мелких решений: что важнее чинить, кому это делать и как объяснить, почему это вообще проблема. Типовой набор задач выглядит так:
- Триаж уязвимостей. Сканеры выдают сотни находок за прогон, и большая часть из них шум. Инженер отделяет реальные проблемы от false positive, расставляет приоритеты по эксплуатируемости и заводит задачи в трекер разработки.
- Ручной code review на безопасность. Логические дыры автоматика не ловит: скидка, которую можно применить дважды, чужой заказ, доступный по подобранному id. Это ищут глазами.
- Threat modeling. На этапе дизайна разбирают, кто и зачем будет атаковать фичу, где хранятся данные и что случится при компрометации каждого узла.
- Security requirements. Формулируют требования к фиче до того, как её начали писать: какая аутентификация, где нужны лимиты запросов, что логировать и что логировать нельзя.
- Настройка и тюнинг инструментов. SAST и DAST из коробки бесполезны. Правила подгоняют под конкретный стек и кодовую базу, иначе команда просто перестаёт читать отчёты.
- Обучение разработчиков и security champions. В каждой команде выращивают человека, который разбирается в безопасности лучше остальных и служит первой линией фильтра.
- Работа с внешними находками. Разбор отчётов от пентестеров и заявок из bug bounty, проверка воспроизводимости, контроль сроков исправления.
Отдельная и неочевидная часть работы это дипломатия. AppSec приходит к команде с новостью, что фичу, которую делали три недели, надо переписать. Инженер, который умеет объяснить риск на языке продукта и предложить рабочую альтернативу, ценится выше того, кто просто присылает отчёт сканера с красными строчками.
Специализации внутри AppSec и ставки
Название вакансии почти всегда одно, а работа внутри разная: её определяет то, что за продукт защищают. Ставки ниже даны как ориентир по вакансиям первого полугодия 2026 года для специалиста с двумя-тремя годами опыта.
| Специализация | С чем работает | Ставка, ₽/мес | Кому подходит |
|---|---|---|---|
| Web AppSec | Веб-приложения, API, классика OWASP Top 10 | 180 000 – 300 000 | Бывшим бэкендерам и веб-пентестерам |
| Mobile AppSec | iOS и Android: хранение токенов, обфускация, reverse engineering | 200 000 – 330 000 | Мобильным разработчикам |
| Cloud и контейнеры | Kubernetes, права сервисов, secret management | 230 000 – 380 000 | Тем, кто пришёл из DevOps |
| Product Security в финтехе | Платёжная логика, антифрод, требования ЦБ | 250 000 – 450 000 | Усидчивым и внимательным к регуляторике |
| Supply chain security | Сторонние библиотеки, SCA, зависимости и лицензии | 200 000 – 320 000 | Любителям автоматизации и скриптов |
| AppSec-архитектор | Процесс SSDLC во всей компании, а не отдельный продукт | 350 000 – 500 000 | Опытным инженерам с 5+ годами в профессии |
Самый широкий вход даёт Web AppSec: там больше всего вакансий, самый понятный набор знаний и больше всего материалов для самостоятельного старта. Финтех и облака платят выше, но туда почти не берут без предыдущего опыта в разработке или эксплуатации.
КурсыСравнение 60 курсов по кибербезопасностиЦены, школы, длительность, рассрочка
Стек AppSec-инженера: SAST, DAST, SCA и что между ними
Инструменты делятся по тому, в какой момент и на что они смотрят. Ни один класс не заменяет другой: SAST видит код, но не понимает контекст выполнения, DAST видит поведение, но не знает, где именно в коде проблема. Российские аналоги указаны отдельно: для компаний с требованиями по импортозамещению это обязательное условие.
| Класс | На что смотрит | Когда запускается | Популярные инструменты | Российские решения |
|---|---|---|---|---|
| SAST | Исходный код без запуска | На каждый pull request | Semgrep, CodeQL, SonarQube | Solar appScreener, Svace, PT Application Inspector |
| DAST | Работающее приложение снаружи | На тестовом стенде перед релизом | OWASP ZAP, Burp Suite | PT BlackBox, Solar appScreener |
| SCA | Сторонние библиотеки и зависимости | При сборке, постоянно | Dependency-Track, OWASP DC | CodeScoring |
| Secret scanning | Пароли и ключи, забытые в репозитории | На каждый коммит | gitleaks, trufflehog | Встроено в отечественные платформы |
| Threat modeling | Архитектуру до написания кода | На старте фичи | STRIDE, доска и маркер | Методика та же, инструмент не нужен |
Отдельно стоит Burp Suite, главный инструмент для ручной проверки веб-приложения. Именно в нём инженер повторяет находку сканера руками, чтобы понять, эксплуатируется она в реальности или красный флаг поставлен зря. Без навыка ручной работы AppSec превращается в оператора кнопки «сканировать», а такого специалиста рынок оценивает заметно скромнее.

Про базу знаний. OWASP Top 10 и CWE Top 25 в этой профессии работают как рабочий словарь: на них ссылаются в отчётах, в задачах разработчикам и на любом собеседовании.
Как проходит рабочий день AppSec-инженера
Работа делится между реактивной частью (разобрать то, что нападало за ночь) и проактивной (успеть повлиять на то, что ещё не написано). Второе постоянно проигрывает первому, и удержать баланс это главное умение в профессии.
10:00–11:00 — разбор ночных сканов
Пайплайн отработал ночью и оставил список находок. Инженер быстро проходит по критичным: часть закрывает как false positive, часть подтверждает и заводит задачи. На хорошо настроенном проекте это полчаса, на запущенном до половины дня.
11:00–12:30 — ревью и разбор с командой
Разбор конкретной находки с автором кода: где проблема, чем грозит, как переписать. Здесь же вопросы разработчиков в рабочем чате, от «можно ли хранить токен вот так» до «нам прислали странный запрос, это атака?».
13:30–15:00 — threat modeling новой фичи
Встреча с продуктом и архитектором по фиче, которая уйдёт в разработку через две недели. Разбирают потоки данных и точки входа, фиксируют требования по безопасности. Самый ценный час дня: решение, принятое здесь, экономит недели переделок.
15:00–17:00 — ручная работа и тюнинг
Ручная проверка модуля в Burp, донастройка правил SAST под стек проекта, чтобы в следующий раз сканер не заваливал команду шумом. Сюда же попадают разбор отчёта пентестеров и проверка заявок из bug bounty.
17:00–18:00 — метрики и бумага
Сколько уязвимостей закрыто в срок, где просрочка, что показывать на комитете по безопасности. Плюс документы под требования регулятора, часть работы, которую в вакансиях описывают скупо, а времени она съедает прилично.
За кадром остаётся фон: чтение отчётов об атаках на похожие продукты, разбор свежих CVE в используемых библиотеках, эксперименты на своём стенде. В профессии, где технологии меняются быстрее, чем выходят учебники, это часть рабочих обязанностей, а не факультатив.
Что должен знать и уметь AppSec-инженер
Профессиональные знания
- Умение читать код. Писать продакшен необязательно, но понимать чужой Python, Go, Java или JavaScript и видеть в нём опасную логику придётся.
- OWASP Top 10 и CWE Top 25 на уровне «объясню механику и покажу на живом примере», а не «слышал аббревиатуру».
- Веб-технологии до основания: HTTP, сессии и токены, CORS, механика XSS, SQL-инъекций, SSRF и обхода авторизации.
- Инструменты анализа: SAST, DAST, SCA. Настройка, тюнинг правил и трезвое понимание их пределов.
- Скриптинг: Python или Bash для автоматизации рутины и склейки инструментов между собой.
- Устройство CI/CD: как собирается и доезжает до сервера то, что вы проверяете.
- Криптография на прикладном уровне: где нужен какой алгоритм, как хранить пароли и почему нельзя изобретать своё.
Личные качества
- Паранойя в рабочих дозах, привычка спрашивать «а что, если сюда придёт не то, что мы ждём».
- Терпимость к рутине: девять находок из десяти окажутся шумом, и разбирать надо все десять.
- Умение объяснять и договариваться. Половина работы это переговоры с командой, у которой горят сроки.
- Устойчивость к спорам: позиция «это надо переписать» редко встречает аплодисменты.
- Постоянное самообучение, потому что техники атак обновляются быстрее любой программы обучения.
Сильного инженера отличает неочевидный навык, умение молчать про мелочи. Если каждую найденную ерунду нести команде как катастрофу, к настоящей критичной находке вас перестанут слушать. Приоритизация здесь важна не меньше, чем чтение кода.
Стандарты и регулирование: ГОСТ Р 56939, ФСТЭК и OWASP
В России безопасная разработка перестала быть доброй волей компании. Это меняет профессию: заметная часть работы AppSec посвящена соответствию требованиям, а техника занимает не весь день.
- ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения», базовый стандарт отрасли. Его обновили в 2024 году. Описывает, какие меры должны быть встроены в цикл разработки, включая статический и динамический анализ кода.
- Требования ФСТЭК обязательны для тех, кто делает софт для государственных информационных систем и значимых объектов КИИ.
- Реестр отечественного ПО. Если продукт идёт туда, инструменты проверки тоже должны быть российскими и поддерживать нужные стандарты.
- Профили защиты ЦБ РФ для финансовых приложений, с отдельными требованиями к анализу уязвимостей.
- OWASP ASVS и SAMM — международные методики, не регуляторика: первая описывает требования к приложению, вторая оценивает зрелость самого процесса безопасной разработки.
Практический вывод для новичка: знание отечественных стандартов и инструментов даёт преимущество на найме. Специалистов, свободно владеющих Burp и OWASP, на рынке хватает. Тех, кто вдобавок понимает, как закрыть требования ГОСТ и ФСТЭК на живом проекте, заметно меньше.
Плюсы и минусы профессии AppSec-инженер

Профессия выглядит привлекательно снаружи: высокая зарплата, интеллектуальные задачи, дефицит кадров. Изнутри у неё есть цена, о которой в вакансиях не пишут.
Плюсы:
- Зарплаты выше, чем у разработчиков сопоставимого уровня. Дефицит специалистов держит рынок соискателя.
- Не устаревает: пока пишут код, будут писать уязвимый код.
- Широкий кругозор, потому что вы видите все продукты компании и общаетесь со всеми командами.
- Прозрачный рост: до AppSec-архитектора, руководителя направления или в консалтинг с почасовой ставкой.
- Формат работы гибкий, значительная часть вакансий удалённые или гибридные.
Минусы:
- Порог входа высокий. Без базы в разработке или ИБ войти почти нереально, вакансий для полных новичков мало.
- Роль конфликтная: вы регулярно приносите плохие новости людям со сроками.
- Ответственность несимметрична. Сто предотвращённых проблем незаметны, один пропущенный инцидент виден всем.
- Много рутины и бумаги, особенно в компаниях под регуляторикой.
- Учиться придётся всегда, и в основном в свободное время.
Профессия подойдёт тем, кто уже поработал с кодом и любит разбирать чужие решения на части, задавая неудобные вопросы. Не подойдёт тем, кто хочет быстрый вход в ИТ с нуля или плохо переносит роль человека, который тормозит релиз.
Канал основателя Checkroi Вани БуявцаПоказываю тебе, как публично строю Checkroi с нейросетями и делюсь цифрами, провалами и тем, что сработалоПодписатьсяСколько зарабатывает AppSec-инженер
Разброс широкий: от 150 000 ₽ у джуна с опытом разработки за спиной до 450 000–500 000 ₽ у архитектора безопасной разработки в крупном банке. Середина рынка для инженера с двумя-тремя годами опыта держится около 250 000 ₽.
Платят по двум сценариям. Продуктовые ИТ-компании и банки берут в штат: там выше вилка, есть годовые бонусы, но и требования по регуляторике жёстче. Консалтинг и интеграторы работают проектно и ценят широту: специалист успевает пощупать десяток разных продуктов за год, зато глубина по каждому меньше. Отдельная добавка к доходу это bug bounty, но как основной источник дохода охота за уязвимостями работает у единиц.
География роли почти не влияет: направление удалённое, и московские вилки доступны из любого города. Куда сильнее платит опыт разработки. Бывший бэкендер стартует в AppSec выше, чем человек с чистым ИБ-бэкграундом без практики программирования.
КурсыСравнение 65 курсов для специалистов по кибербезопасностиЦены, школы, длительность, рассрочка
Как стать AppSec-инженером
Путей два, и оба идут через смежную профессию. Из разработки: вы уже читаете код, остаётся добрать техники атак, инструменты и стандарты; это обычно 6–12 месяцев подготовки без отрыва от текущей работы. Из пентеста или системного администрирования: вы понимаете, как ломают, но придётся всерьёз подтянуть чтение кода и устройство разработки.
Каркас подготовки одинаковый: разобрать OWASP Top 10 на практике, освоить Burp и один SAST, набить руку на тренировочных стендах, разобраться с CI/CD и российскими стандартами. Профессиональная переподготовка по информационной безопасности закрывает теорию и даёт документ, который спрашивают в госсекторе и банках, а международная сертификация вроде OSCP или CEH работает как доказательство практики: обе строчки в резюме помогают пройти первичный отбор, но на собеседовании всё равно попросят разобрать код. Полный разбор пути с планом по месяцам и разбором ошибок новичков есть в статье как стать специалистом по информационной безопасности. Если решаете вопрос поступления после школы, предметы и вузы разобраны в материале что сдавать на информационную безопасность.
Совет тем, кто выбирает старт. Если стоит выбор между «сначала стать разработчиком» и «сразу учить безопасность», год в разработке окупится: читать код на собеседовании попросят обязательно.
Где учиться на AppSec-инженера
Отдельных программ строго под AppSec на рынке мало: направление молодое, и обучение обычно собирают из курсов по информационной безопасности с блоком безопасной разработки, курсов по пентесту веб-приложений и практики на тренировочных площадках. Смотреть стоит на то, есть ли в программе реальная работа с SAST и Burp, а не только теория по классификациям уязвимостей.
Ниже собраны программы по информационной безопасности с фильтрами по цене, формату и уровню: можно сравнить продолжительность, наличие практики и стоимость.
| Курс | Школа | Стоимость со скидкой | В рассрочку | Длительность | Обзор курса от Checkroi |
|---|---|---|---|---|---|
| Кибербезопасность Перейти на сайт курса | 200 000 ₽ | 465 ₽/мес. | 24 месяца | Обзор курса | |
| Онлайн-магистратура МИФИ "Информационная безопасность" Перейти на сайт курса | 225 ₽ | 225 ₽/мес. | 24 месяца | Обзор курса | |
| Информационная безопасность (Бакалавриат) Перейти на сайт курса | 440 000 ₽ | 36 667 ₽/мес. | 4 years | Обзор курса | |
| Профессия «Специалист по кибербезопасности» Перейти на сайт курса | 178 533 ₽ | 4606 ₽/мес. | 12 месяцев | Обзор курса | |
| ДО Кибербезопасность и приложения на Python Перейти на сайт курса | 74 400 ₽ | 250 000 ₽/мес. | Обзор курса | ||
| Кибербезопасность + ИИ для детей Перейти на сайт курса | Бесплатно | 4480 ₽/мес. | 6 месяцев | Обзор курса | |
| Специалист по кибербезопасности - курс переподготовки Перейти на сайт курса | 32 980 ₽ | 2748 ₽/мес. | 400 часов | Обзор курса | |
| Информационная безопасность компании. Повышение квалификации Перейти на сайт курса | 23 900 ₽ | 23 900 ₽/мес. | Обзор курса | ||
| Кибербезопасность в информационных системах Перейти на сайт курса | 45 000 ₽ | 7500 ₽/мес. | Обзор курса | ||
| Информационная безопасность - курс переподготовки Перейти на сайт курса | 32 980 ₽ | 5496 ₽/мес. | 256 часов | Обзор курса |
Больше программ — в полном каталоге курсов по информационной безопасности
Главное о профессии AppSec-инженер
AppSec-инженер защищает сам продукт, а не периметр компании: разбирает находки сканеров, ищет логические дыры глазами, задаёт неудобные вопросы на этапе дизайна и учит разработчиков не повторять ошибки. От DevSecOps его отличает фокус на коде вместо пайплайна, от пентестера отличает постоянная работа внутри команды вместо разового отчёта. Рабочий стек держится на трёх классах инструментов, SAST, DAST и SCA, плюс ручная проверка в Burp и threat modeling на старте фичи.
Деньги в профессии высокие, от 150 000 ₽ на старте до 450 000 ₽ и выше у архитекторов, но платят их за высокий порог входа: без опыта в разработке или ИБ сюда почти не попасть. Зато направление растёт вместе с требованиями ГОСТ Р 56939 и ФСТЭК, работает удалённо и не грозит устареть. Пока люди пишут код, кто-то должен искать в нём дыры.




