Skip to content
Tecnología e IngenieríaMiddle

Ejemplo de CV Middle Application Security Engineer

Ejemplo de CV profesional Middle Application Security Engineer. Plantilla optimizada para ATS.

JuniorMiddleSeniorLead

Rango salarial Middle (US)

$175,000 - $240,000

Por qué este CV funciona

Cada bullet abre con un verbo de ownership

Lideré, Diseñé, Embedded, Conduje, Mentoricé. Mid-level AppSec significa que te insertas en orgs de producto y envías gates pre-prod, no que solo cierras tickets.

Números duros reemplazan 'mejoré la seguridad'

0,91 true-positive rate, desplegado en 47 repos, 3.400+ falsos positivos por trimestre, 84% de los hallazgos de alta severidad, 12 brechas de detección. La especificidad es la diferencia entre un AppSec engineer y un generalista.

Los resultados conectan el AppSec con la realidad del release

No 'ejecuté threat models', sino 'en la org de producto de pagos con SREs on-call y product leadership'. No 'escribí reglas', sino 'plantillas STRIDE que se convirtieron en estándar org-wide'. El contexto demuestra profundidad embedded.

Embedded con engineering, no aparcado al lado

Mentoricé a 2 SDEs hacia rotación AppSec, embedded con mobile-platform engineering durante 9 meses, rotación de threat modeling en 11 servicios backend. Mid-level AppSec vive dentro de los equipos de producto.

Tooling específico, no un genérico 'AppSec stack'

'Diseñé un ruleset de Semgrep' y 'retiré la pipeline ruidosa de Veracode' son decisiones. 'AppSec stack' es buzzword. Nombra qué adoptaste, qué mataste y la fase del SDLC donde corrió.

Habilidades esenciales

  • Semgrep
  • CodeQL
  • Snyk
  • Veracode
  • Checkmarx
  • Burp Suite Pro
  • Caido
  • OWASP ZAP
  • Threat Modeling (STRIDE)
  • OWASP ASVS
  • NIST SSDF
  • SLSA
  • ISO 27001
  • SOC 2
  • Python
  • Go
  • TypeScript
  • Rust
  • AWS
  • GCP
  • Kubernetes
  • Terraform
  • HashiCorp Vault
  • Sigstore
  • Cosign

Mejore su CV

Recibir crítica

Análisis brutal de IA sobre su CV

Criticar mi CV

CV y carta a medida

Adapte su CV a ofertas de empleo

Adaptar mi CV

Editor de CV con IA

Edite con sugerencias de IA

Abrir panel

CV de Application Security Engineer: cómo entrar dentro de product engineering, no al lado

Application Security es el rol que los hiring managers dicen que quieren cubrir, pero rara vez lo cubren bien. AppSec no es IT security. No es una rotación de SOC analyst. No es GRC escribiendo políticas. Es un rol de ingeniería embedded con equipos de producto, dueño de threat models, pipelines SAST y SCA, supply-chain provenance y el secure-SDLC. Los recruiters de Stripe, Cloudflare, GitHub, Datadog, Atlassian y Coinbase escanean tu CV buscando una sola señal: ¿lees código y entregas guardrails, o reenvías hallazgos y lo llamas un programa?

La verdad brutal es que la mayoría de CVs de AppSec se filtran por la misma razón. Listan 'revisé código de seguridad' en lugar de 'envié un Semgrep gate con autofix en 47 repos'. Mencionan CISSP en lo alto de la primera página y citan Burp Suite una vez. Afirman 'reduje vulnerabilidades' sin un número de violaciones SLA. El hiring loop quiere ver señal-ruido, no pilas de certificaciones.

Esta guía desglosa lo que funciona en cada nivel de AppSec: junior triando hallazgos SAST y escribiendo reglas Semgrep, mid-level embedded con una org de producto y conduciendo threat models, senior liderando el programa en 5+ orgs y tomando decisiones de vendor ASPM, lead marcando estrategia org-wide y presentando riesgo al audit committee. Cada ejemplo está construido con herramientas reales (Semgrep, CodeQL, Snyk, Veracode, Checkmarx, Trivy, OSV-Scanner, Sigstore, Cosign, Apiiro, OX Security, Endor Labs, HackerOne, Bugcrowd) y métricas reales (true-positive rate, MTTR, cobertura de threat-model, payout-por-critical) sobre las que los hiring managers realmente hacen pattern-match.

Mejores Prácticas para CV de Application Security Engineer Intermedio

  1. Lidera con trabajo embedded, no con consultoría. Mid-level AppSec significa que te sientas dentro de una org de producto durante meses. Frameéalo así: 'Embedded con mobile-platform engineering durante 9 meses, enviando gating pré-prod que cerró el 84% de los hallazgos de alta severidad antes del release'. Cualquier cosa que se lea como una auditoría drive-by se agrupa con los consultores GRC.

  2. Una decisión de vendor en tus bullets vale por diez herramientas listadas. 'Diseñé un ruleset de Semgrep desplegado en 47 repos con 0,91 true-positive rate, retirando la pipeline de Veracode ruidosa que producía 3.400+ falsos positivos por trimestre' es una decisión. Les dice que mediste ambos productos, tomaste una decisión y eres dueño de las métricas.

  3. La cobertura de threat-model es la métrica que los recruiters mid-level te puntúan en silencio. 'Lideré la rotación de threat modeling en 11 servicios backend en la org de producto de pagos' muestra que poseíste un proceso. Puntos extra por nombrar el artefacto y la cadencia.

  4. Nombra a dos ingenieros que mentorizaste hacia AppSec, no un genérico 'mentoricé juniors'. La brecha mid-a-senior es si puedes traer a un SDE backend a una rotación AppSec. 'Mentoricé a 2 SDEs hacia rotación AppSec mediante un currículo de 6 meses sobre Burp Suite Pro, Caido y ataques de supply chain' prueba que puedes escalarte.

  5. Conduce un ejercicio tabletop al año y ponlo en tu CV. 'Conduje un ejercicio tabletop sobre un escenario de fuga de tokens con SREs on-call y product leadership, sacando a la luz 12 brechas de detección y 4 runbooks faltantes' toma un bullet y te re-encuadra como alguien que puede operar bajo presión.

Errores Comunes de CV para Application Security Engineer Intermedio

  1. Leerse como un junior avanzado

Por qué duele: Los CVs mid-level que solo listan más hallazgos SAST, más reglas, más repos se leen como junior con tres años de experiencia. No señalan trabajo embedded, decisiones de vendor ni cobertura de threat-model.

Cómo arreglarlo: Añade al menos un bullet por rol que nombre un cambio de vendor, un proceso de threat modeling que poseíste o un engagement embedded con un equipo de producto de más de 6 meses. 'Embedded con mobile-platform engineering durante 9 meses' es el tipo de frase que te saca del bucket junior.

  1. Sección de skills tipo lista de herramientas idéntica a un CV junior

Por qué duele: Si tu sección de skills dice 'Semgrep, CodeQL, Burp Suite, Wireshark, OWASP Top 10', te mezclas con todo CV de nivel inicial. Mid-level espera un stack deliberado: SAST/SCA distinto de DAST/Recon distinto de Frameworks.

Cómo arreglarlo: Agrupa skills por función AppSec (SAST y SCA, DAST y Recon, Cloud Security, Frameworks) y poda cualquier cosa que no puedas defender en una entrevista de 30 minutos. Cinco categorías sólidas le ganan a quince herramientas que tocaste una vez.

  1. Threat models escondidos como 'security reviews'

Por qué duele: 'Realicé security reviews en servicios nuevos' es lenguaje GRC. Los hiring managers AppSec quieren ver threat modeling específicamente, con el framework (STRIDE, LINDDUN, PASTA) y el artefacto (data-flow diagram, abuse cases, mitigation backlog).

Cómo arreglarlo: Reemplaza 'security reviews' con 'Lideré la rotación de threat modeling en 11 servicios backend en la org de producto de pagos, redactando plantillas STRIDE que se convirtieron en el estándar org-wide'. Ahora el bullet hace pattern-match con potencial senior.

Tips Rápidos de CV para Application Security Engineer Intermedio

  1. Elige una especialidad y posséela. Threat modeling, supply-chain provenance, rollout de ASPM o detection engineering. Mid-level AppSec sin especialidad te limita el techo de comp en torno a 200K USD. Los especialistas con un área profunda lo rompen.

  2. Adueñate de un resultado de mentorship de ingenieros. Traer a 1-2 SDEs backend a una rotación AppSec mediante un currículo documentado de 6 meses es el bullet que te gana entrevistas senior.

  3. Conduce un tabletop y documenta las brechas que encontraste. No 'tabletop sobre incident response' sino 'tabletop sobre un escenario de fuga de tokens, sacando a la luz 12 brechas de detección y 4 runbooks faltantes'. El detalle hace el bullet creíble.

Preguntas frecuentes

Un AppSec engineer está embedded con equipos de product engineering y es dueño de threat models, programas SAST/DAST/SCA, adopción de secure-SDLC, redes de security-champions, intake de vulnerability disclosure y supply-chain provenance. Escribe reglas Semgrep y CodeQL, conduce ejercicios tabletop y bloquea releases en hallazgos. AppSec es trabajo de ingeniería, no trabajo de políticas, y no trabajo de SOC analyst.

Los SOC analysts vigilan alertas de telemetría de producción. IT security asegura la IT corporativa (laptops, identidad, red). GRC escribe políticas y conduce auditorías. AppSec no es nada de eso. AppSec se sienta dentro de product engineering, lee pull requests, escribe detection-as-code y envía gates pre-prod. El stack del día a día es Semgrep, CodeQL, Burp Suite Pro, Caido, Sigstore y Apiiro, no dashboards SIEM ni documentos de política.

OSCP y OSWE (Offensive Security) señalan profundidad hands-on del lado atacante. GIAC GWAPT señala madurez de penetration testing de aplicaciones web. AWS Certified Security y CCSP son útiles en roles cloud-AppSec mid-a-senior. CISSP se vuelve relevante a niveles senior+ por visibilidad de management, nunca como señal junior. CompTIA Security+ es aceptable como base. CISSP, CISM, CRISC apilados a nivel junior reducen las tasas de callback de AppSec porque hace pattern-match con candidatos GRC.

True-positive rate SAST (0,42 → 0,78 es concreto), MTTR para hallazgos sev-1 y sev-2, cobertura de threat-model en servicios nuevos como porcentaje, adopción de security-champions como porcentaje de equipos, eficiencia de payouts de bug-bounty (payout-por-critical y time-to-triage), tasa de pre-prod findings cerrados antes del release y cobertura de provenance de artefactos de supply-chain. Los CVs sin al menos tres de estas métricas se filtran antes del screen del recruiter.

Sí, ambos. Un ruleset Semgrep público con adopción medible (stars, contributors, uso downstream) es la única señal de mayor leverage a nivel junior y mid-level. Los reports HackerOne o Bugcrowd con cifras de payout y CVE IDs prueban lectura del lado atacante. Ambos son explícitamente buscados durante el sourcing en Stripe, Cloudflare, GitHub, Datadog, Atlassian y Coinbase.

Tres señales. Primera, un cambio explícito de vendor con cifra en dólares (maté Veracode por Semgrep+CodeQL, 620.000 USD recuperados). Segunda, un engagement embedded de más de 6 meses con una org de producto, con delta de cobertura. Tercera, mentorship que convirtió a 1-2 SDEs en rotación AppSec. Si tu CV tiene los tres, eres competitivo para senior. Si no tiene ninguno, te lees como junior avanzado independientemente de los años de experiencia.

Certificaciones recomendadas

Offensive Security Certified Professional (OSCP)

Offensive Security

middle

GIAC Web Application Penetration Tester (GWAPT)

GIAC (SANS Institute)

middle

AWS Certified Security Specialty

Amazon Web Services

middle

Preparación para entrevistas

Las entrevistas de Application Security Engineer prueban profundidad en lectura de código, instintos de threat modeling y madurez de pensamiento programa. Espera un code review en vivo (Python/Go/TypeScript con patrones intencionalmente vulnerables), una sesión de threat modeling en pizarra sobre un servicio ficticio y una zambullida profunda sobre una herramienta en la que reclamas mastery (Semgrep, CodeQL, Burp Suite Pro, Caido). Las rondas senior+ añaden preguntas de estrategia ASPM, walk-throughs de decisiones de vendor y diseño de supply-chain provenance (Sigstore, Cosign, SLSA Level 3). Las rondas lead añaden economía de bug-bounty, consolidación de vendors y simulación de readout al audit committee.

Preguntas frecuentes

Preguntas comunes:

  • Llévame por un threat model reciente: scope, framework, artefactos, mitigaciones
  • ¿Por qué mantuviste una herramienta SAST y mataste otra? ¿Qué métricas guiaron la decisión?
  • Describe un engagement embedded con un equipo de producto y qué enviaste
  • ¿Cómo mides si tu secure-SDLC funciona?
  • Recorre un ejercicio tabletop que condujiste y las brechas que sacó a la luz

Tips: Ten listo un cambio explícito de vendor, una rotación de threat modeling y un resultado de mentorship. Los entrevistadores senior sondearán trabajo cross-team. Evita pura profundidad técnica sin framing programa.

Actualizado:
Usar esta plantilla