Skip to content
Tecnologia & Engenharia

Exemplo de currículo Junior Application Security Engineer

Exemplo de currículo profissional Junior Application Security Engineer. Modelo otimizado para ATS.

Escolha seu nível

Selecione o nível de experiência para um modelo de currículo adequado

Junior$130,000 - $180,000

Exemplo de currículo profissional Junior Application Security Engineer. Modelo otimizado para ATS.

Ver modelo
Middle$175,000 - $240,000

Exemplo de currículo profissional Middle Application Security Engineer. Modelo otimizado para ATS.

Ver modelo
Senior$240,000 - $340,000

Exemplo de currículo profissional Senior Application Security Engineer. Modelo otimizado para ATS.

Ver modelo
Lead$300,000 - $500,000

Exemplo de currículo profissional Lead Application Security Engineer. Modelo otimizado para ATS.

Ver modelo

Por que este currículo funciona

Verbos fortes abrem cada bullet

Triei, Escrevi, Investiguei, Construí, Acompanhei. Cada bullet começa com uma ação que prova que você puxou o trabalho, e não esperou os achados chegarem na sua fila.

Números transformam trabalho de AppSec em evidência

1.200+ achados SAST, true-positive rate de 0,42 para 0,78, 22 regras Semgrep customizadas, 156 pacotes vulneráveis, 230+ configurações incorretas. Sem métricas, code review parece um diário de tarefas.

Contexto transforma saída de scan em resultado de segurança

Não 'rodei scans', mas 'com roteamento JIRA baseado em severidade'. Não 'revisei código', mas 'em 48 repositórios de produção'. Contexto prova que você entendeu os sistemas que estava defendendo.

Colaboração aparece até em nível inicial

Adotadas por 3 times de produto, acompanhei um senior product-security engineer, threat models para 4 novos microsserviços. Junior AppSec é trabalho embedded, seu CV precisa mostrar com quem você trabalhou.

Ferramentas mostradas em entregas, não listadas em uma stack

'Construí scans noturnos de containers Trivy e Snyk' bate 'Trivy, Snyk'. Ferramentas vivem dentro do que você entregou, provando que você usou de verdade e não só passou os olhos por um tutorial.

Alterne entre níveis para recomendações específicas

Habilidades-chave

  • Semgrep
  • CodeQL
  • Snyk
  • Dependabot
  • Trivy
  • OSV-Scanner
  • Burp Suite Pro
  • OWASP Top 10
  • OWASP ASVS
  • NIST SSDF
  • SLSA
  • Python
  • Go
  • TypeScript
  • Bash
  • Docker
  • Kubernetes
  • GitHub Actions
  • Caido
  • HackerOne
  • Veracode
  • Checkmarx
  • OWASP ZAP
  • Threat Modeling (STRIDE)
  • ISO 27001
  • SOC 2
  • Rust
  • AWS
  • GCP
  • Terraform
  • HashiCorp Vault
  • Sigstore
  • Cosign
  • Apiiro
  • OX Security
  • Endor Labs
  • SLSA Level 3
  • Threat Modeling
  • Secure SDLC
  • FedRAMP
  • in-toto
  • Nuclei
  • Vendor Evaluation
  • Detection Engineering
  • AppSec Program Design
  • Vendor Negotiation
  • Budget Planning
  • Board Reporting
  • Risk Quantification
  • PCI DSS
  • Bugcrowd

Melhore seu currículo

Receba críticas

Feedback brutal de IA sobre seu currículo

Criticar meu currículo

Currículo & carta sob medida

Adapte seu currículo para vagas específicas

Adaptar meu currículo

Editor de Currículo IA

Edite com sugestões de IA

Abrir painel

Faixas salariais (US)

Junior
$130,000 - $180,000
Middle
$175,000 - $240,000
Senior
$240,000 - $340,000
Lead
$300,000 - $500,000

Progressão na carreira

Carreiras em Application Security progridem de triagem e escrita de regras até ownership de programa e estratégia org-wide. O caminho mais rápido de crescimento é se especializar em um de: threat modeling, detection engineering SAST/CodeQL, supply-chain provenance ou estratégia ASPM. A remuneração acelera fortemente em senior+ porque decisões de vendor e ownership de programa compostam ao longo das orgs de produto. Lead AppSec em empresas top-tier entra em território CISO-track, com alguns movimentos laterais para Head of Product Security ou VP Engineering Security.

  1. JuniorMiddle2-3 years

    Entregue um ruleset Semgrep open-source com adoção mensurável, seja dono do intake end-to-end de vulnerability disclosure no HackerOne, complete um engagement embedded inteiro com um time de produto por mais de 3 meses, e conquiste OSCP ou GWAPT.

    • Threat modeling (STRIDE)
    • Custom Semgrep rule authoring
    • Burp Suite Pro and Caido fluency
    • Container and IaC security (Trivy, Checkov)
    • Vulnerability disclosure operations
  2. MiddleSenior2-3 years

    Conduza uma troca de vendor com reclaim documentado em dólares, owni uma rotação de threat-modeling em 5+ serviços, mentore 1 a 2 SDEs para rotação AppSec, entregue gating pré-prod que feche uma fatia mensurável dos achados de alta severidade antes do release, e conquiste OSWE ou AWS Security Specialty.

    • ASPM tooling (Apiiro, OX Security, Endor Labs)
    • CodeQL custom queries
    • Supply-chain provenance (Sigstore, Cosign)
    • Detection engineering at scale
    • Cross-team program ownership
  3. SeniorLead3-5 years

    Owni AppSec em 5+ orgs de produto com delta de cobertura mensurável, conduza uma consolidação de vendor multimilionária, escale um programa de security-champions além de 50% dos times, entregue readouts trimestrais ao CTO ou ao audit committee, e entregue supply-chain provenance org-wide em SLSA Level 3.

    • AppSec program design and budgeting
    • Vendor negotiation and procurement
    • Board and audit-committee communication
    • Bug-bounty program economics
    • Founding and hiring an AppSec org

AppSec engineers podem pivotar para red team ou pesquisa em offensive security, security platform engineering (construção de tooling AppSec interno), papéis de fundador/early-engineer em startups AppSec (Semgrep, Endor Labs, OX Security), product management de segurança ou liderança de plataforma DevSecOps. O caminho CISO tipicamente passa por lead AppSec até Head of Product Security e adiante.

CV de Application Security Engineer: como ser contratado dentro do product engineering, e não ao lado

Application Security é o cargo que hiring managers dizem querer preencher mas raramente preenchem bem. AppSec não é IT security. Não é rotação de SOC analyst. Não é GRC escrevendo políticas. É um cargo de engenharia embedded com times de produto, dono de threat models, pipelines SAST e SCA, supply-chain provenance e do secure-SDLC. Recruiters da Stripe, Cloudflare, GitHub, Datadog, Atlassian e Coinbase escaneiam seu CV em busca de um sinal: você lê código e entrega guardrails, ou repassa achados e chama isso de programa.

A verdade brutal é que a maioria dos CVs de AppSec é filtrada pelo mesmo motivo. Listam 'revisei código quanto a segurança' em vez de 'entreguei um Semgrep gate com autofix em 47 repositórios'. Citam CISSP no topo da página um e mencionam Burp Suite uma vez. Afirmam 'reduzi vulnerabilidades' sem um número de violação SLA. O hiring loop quer ver sinal-ruído, não pilhas de certificações.

Este guia destrincha o que funciona em cada nível AppSec: júnior triando achados SAST e escrevendo regras Semgrep, mid-level embedded com uma org de produto e conduzindo threat models, senior owni o programa em 5+ orgs e tomando decisões de vendor ASPM, lead definindo estratégia org-wide e apresentando risco ao audit committee. Cada exemplo é construído com ferramentas reais (Semgrep, CodeQL, Snyk, Veracode, Checkmarx, Trivy, OSV-Scanner, Sigstore, Cosign, Apiiro, OX Security, Endor Labs, HackerOne, Bugcrowd) e métricas reais (true-positive rate, MTTR, cobertura de threat-model, payout-por-critical) sobre as quais hiring managers de fato fazem pattern-match.

Perguntas frequentes

Um AppSec engineer fica embedded com times de product engineering e é dono de threat models, programas SAST/DAST/SCA, adoção de secure-SDLC, redes de security-champions, intake de vulnerability disclosure e supply-chain provenance. Escreve regras Semgrep e CodeQL, conduz exercícios tabletop e trava releases em achados. AppSec é trabalho de engenharia, não trabalho de política, e não trabalho de SOC analyst.

SOC analysts vigiam alertas da telemetria de produção. IT security protege a TI corporativa (laptops, identidade, rede). GRC escreve políticas e roda auditorias. AppSec não é nada disso. AppSec senta dentro do product engineering, lê pull requests, escreve detection-as-code e entrega gates pré-prod. O stack do dia a dia é Semgrep, CodeQL, Burp Suite Pro, Caido, Sigstore e Apiiro, não dashboards SIEM ou documentos de política.

OSCP e OSWE (Offensive Security) sinalizam profundidade hands-on do lado atacante. GIAC GWAPT sinaliza maturidade em web app penetration testing. AWS Certified Security e CCSP são úteis em cargos cloud-AppSec mid-a-senior. CISSP fica relevante em níveis senior+ por visibilidade de management, nunca como sinal júnior. CompTIA Security+ é aceitável como base. CISSP, CISM, CRISC empilhadas em nível júnior na verdade reduzem as taxas de callback de AppSec porque fazem pattern-match com candidatos GRC.

True-positive rate SAST (0,42 → 0,78 é concreto), MTTR para achados sev-1 e sev-2, cobertura de threat-model em serviços novos como porcentagem, adoção de security-champions como porcentagem dos times, eficiência de payouts de bug-bounty (payout-por-critical e time-to-triage), taxa de pre-prod findings closed pre-release e cobertura de provenance de artefatos de supply-chain. CVs sem pelo menos três dessas métricas são filtrados antes do screen do recruiter.

Sim, ambos. Um ruleset Semgrep público com adoção mensurável (stars, contribuidores, uso downstream) é o sinal de maior alavancagem em nível júnior e mid-level. Reports HackerOne ou Bugcrowd com valores de pagamento e CVE IDs provam leitura do lado atacante. Ambos são explicitamente buscados durante o sourcing na Stripe, Cloudflare, GitHub, Datadog, Atlassian e Coinbase.

Lidere com projetos aplicados frameados como experiência profissional. Um ruleset Semgrep público com 240+ stars, 4 reports HackerOne de severidade média por 2.400 USD em pagamentos e uma pipeline Trivy/Snyk documentada em home-lab são críveis. Frameie a seção como 'Application Security Projects (2023-Atualidade)' e descreva cada um como se fosse um engagement contratado. O hiring manager quer ver artefatos de código e números de sinal-ruído, não buracos cronológicos.
Usar este modelo