Skip to content
Tecnologia & EngenhariaMiddle

Exemplo de currículo Middle Application Security Engineer

Exemplo de currículo profissional Middle Application Security Engineer. Modelo otimizado para ATS.

JuniorMiddleSeniorLead

Faixa salarial Middle (US)

$175,000 - $240,000

Por que este currículo funciona

Cada bullet abre com um verbo de ownership

Liderei, Desenhei, Embedded, Conduzi, Mentorei. Mid-level AppSec significa ficar embedded em orgs de produto e entregar gates pré-prod, não apenas fechar tickets.

Números duros substituem 'melhorei a segurança'

0,91 true-positive rate, implantado em 47 repositórios, 3.400+ falsos positivos por trimestre, 84% dos achados de alta severidade, 12 lacunas de detecção. Especificidade é a diferença entre AppSec engineer e generalista.

Resultados conectam o trabalho de AppSec à realidade do release

Não 'rodei threat models', mas 'na org de produto de pagamentos com SREs on-call e product leadership'. Não 'escrevi regras', mas 'templates STRIDE que viraram padrão org-wide'. Contexto prova profundidade embedded.

Embedded com engineering, não estacionado ao lado

Mentorei 2 SDEs para rotação AppSec, embedded com mobile-platform engineering por 9 meses, rotação de threat modeling em 11 serviços de backend. Mid-level AppSec vive dentro dos times de produto.

Tooling específico, não 'AppSec stack' genérico

'Desenhei um ruleset Semgrep' e 'aposentei a pipeline Veracode barulhenta' são decisões. 'AppSec stack' é buzzword. Nomeie o que adotou, o que matou e o estágio do SDLC onde rodou.

Habilidades essenciais

  • Semgrep
  • CodeQL
  • Snyk
  • Veracode
  • Checkmarx
  • Burp Suite Pro
  • Caido
  • OWASP ZAP
  • Threat Modeling (STRIDE)
  • OWASP ASVS
  • NIST SSDF
  • SLSA
  • ISO 27001
  • SOC 2
  • Python
  • Go
  • TypeScript
  • Rust
  • AWS
  • GCP
  • Kubernetes
  • Terraform
  • HashiCorp Vault
  • Sigstore
  • Cosign

Melhore seu currículo

Receba críticas

Feedback brutal de IA sobre seu currículo

Criticar meu currículo

Currículo & carta sob medida

Adapte seu currículo para vagas específicas

Adaptar meu currículo

Editor de Currículo IA

Edite com sugestões de IA

Abrir painel

CV de Application Security Engineer: como ser contratado dentro do product engineering, e não ao lado

Application Security é o cargo que hiring managers dizem querer preencher mas raramente preenchem bem. AppSec não é IT security. Não é rotação de SOC analyst. Não é GRC escrevendo políticas. É um cargo de engenharia embedded com times de produto, dono de threat models, pipelines SAST e SCA, supply-chain provenance e do secure-SDLC. Recruiters da Stripe, Cloudflare, GitHub, Datadog, Atlassian e Coinbase escaneiam seu CV em busca de um sinal: você lê código e entrega guardrails, ou repassa achados e chama isso de programa.

A verdade brutal é que a maioria dos CVs de AppSec é filtrada pelo mesmo motivo. Listam 'revisei código quanto a segurança' em vez de 'entreguei um Semgrep gate com autofix em 47 repositórios'. Citam CISSP no topo da página um e mencionam Burp Suite uma vez. Afirmam 'reduzi vulnerabilidades' sem um número de violação SLA. O hiring loop quer ver sinal-ruído, não pilhas de certificações.

Este guia destrincha o que funciona em cada nível AppSec: júnior triando achados SAST e escrevendo regras Semgrep, mid-level embedded com uma org de produto e conduzindo threat models, senior owni o programa em 5+ orgs e tomando decisões de vendor ASPM, lead definindo estratégia org-wide e apresentando risco ao audit committee. Cada exemplo é construído com ferramentas reais (Semgrep, CodeQL, Snyk, Veracode, Checkmarx, Trivy, OSV-Scanner, Sigstore, Cosign, Apiiro, OX Security, Endor Labs, HackerOne, Bugcrowd) e métricas reais (true-positive rate, MTTR, cobertura de threat-model, payout-por-critical) sobre as quais hiring managers de fato fazem pattern-match.

Boas Práticas para CV de Application Security Engineer Pleno

  1. Lidere com trabalho embedded, não com consultoria. Mid-level AppSec significa sentar dentro de uma org de produto por meses. Frameie assim: 'Embedded com mobile-platform engineering por 9 meses, entregando gating pré-prod que fechou 84% dos achados de alta severidade antes do release'. Qualquer coisa que pareça uma auditoria drive-by acaba no balde dos consultores GRC.

  2. Uma decisão de vendor nos seus bullets vale dez ferramentas listadas. 'Desenhei um ruleset Semgrep implantado em 47 repositórios com 0,91 true-positive rate, aposentando a pipeline Veracode barulhenta que produzia 3.400+ falsos positivos por trimestre' é uma decisão. Diz a eles que você mediu os dois produtos, fez uma escolha e é dono das métricas.

  3. Cobertura de threat-model é a métrica pela qual recruiters mid-level te avaliam em silêncio. 'Liderei rotação de threat modeling em 11 serviços de backend na org de produto de pagamentos' mostra que você possuiu um processo. Pontos extras por nomear o artefato e a cadência.

  4. Nomeie dois engenheiros que você mentorou para AppSec, não um genérico 'mentorei juniores'. O gap mid-para-senior é se você consegue puxar um SDE de backend para uma rotação AppSec. 'Mentorei 2 SDEs para rotação AppSec via currículo de 6 meses sobre Burp Suite Pro, Caido e ataques de supply chain' prova que você consegue se escalar.

  5. Conduza um exercício tabletop por ano e coloque no CV. 'Conduzi um exercício tabletop sobre cenário de vazamento de tokens com SREs on-call e product leadership, expondo 12 lacunas de detecção e 4 runbooks faltantes' usa um bullet e te reposiciona como alguém que opera sob pressão.

Erros Comuns de CV para Application Security Engineer Pleno

  1. Ler como júnior avançado

Por que dói: CVs mid-level que apenas listam mais achados SAST, mais regras, mais repositórios leem como júnior com três anos de experiência. Não sinalizam trabalho embedded, decisões de vendor nem cobertura de threat-model.

Como consertar: Adicione pelo menos um bullet por cargo que nomeie uma troca de vendor, um processo de threat modeling que você possuiu, ou um engagement embedded com um time de produto por mais de 6 meses. 'Embedded com mobile-platform engineering por 9 meses' é o tipo de frase que te tira do balde júnior.

  1. Seção de skills tipo lista de ferramentas idêntica a CV júnior

Por que dói: Se sua seção de skills diz 'Semgrep, CodeQL, Burp Suite, Wireshark, OWASP Top 10', você se mistura com todo CV de nível inicial. Mid-level espera stack deliberada: SAST/SCA distinto de DAST/Recon distinto de Frameworks.

Como consertar: Agrupe skills por função AppSec (SAST e SCA, DAST e Recon, Cloud Security, Frameworks) e pode tudo o que não consegue defender numa entrevista de 30 minutos. Cinco categorias fortes batem quinze ferramentas tocadas uma vez.

  1. Threat models escondidos como 'security reviews'

Por que dói: 'Realizei security reviews em serviços novos' é linguagem GRC. Hiring managers AppSec querem ver threat modeling especificamente, com o framework (STRIDE, LINDDUN, PASTA) e o artefato (data-flow diagram, abuse cases, mitigation backlog).

Como consertar: Substitua 'security reviews' por 'Liderei rotação de threat modeling em 11 serviços de backend na org de produto de pagamentos, escrevendo templates STRIDE que viraram o padrão org-wide'. Agora o bullet faz pattern-match com potencial senior.

Dicas Rápidas de CV para Application Security Engineer Pleno

  1. Escolha uma especialidade e seja dono dela. Threat modeling, supply-chain provenance, rollout de ASPM ou detection engineering. Mid-level AppSec sem especialidade trava seu teto de comp em torno de 200 mil USD. Especialistas com uma área profunda quebram o teto.

  2. Possua um resultado de mentoria de engenheiro. Puxar 1 a 2 SDEs de backend para uma rotação AppSec via currículo documentado de 6 meses é o bullet que te dá entrevistas senior.

  3. Conduza um tabletop e documente as lacunas que encontrou. Não 'tabletop sobre incident response' mas 'tabletop sobre cenário de vazamento de tokens, expondo 12 lacunas de detecção e 4 runbooks faltantes'. O detalhe deixa o bullet crível.

Perguntas frequentes

Um AppSec engineer fica embedded com times de product engineering e é dono de threat models, programas SAST/DAST/SCA, adoção de secure-SDLC, redes de security-champions, intake de vulnerability disclosure e supply-chain provenance. Escreve regras Semgrep e CodeQL, conduz exercícios tabletop e trava releases em achados. AppSec é trabalho de engenharia, não trabalho de política, e não trabalho de SOC analyst.

SOC analysts vigiam alertas da telemetria de produção. IT security protege a TI corporativa (laptops, identidade, rede). GRC escreve políticas e roda auditorias. AppSec não é nada disso. AppSec senta dentro do product engineering, lê pull requests, escreve detection-as-code e entrega gates pré-prod. O stack do dia a dia é Semgrep, CodeQL, Burp Suite Pro, Caido, Sigstore e Apiiro, não dashboards SIEM ou documentos de política.

OSCP e OSWE (Offensive Security) sinalizam profundidade hands-on do lado atacante. GIAC GWAPT sinaliza maturidade em web app penetration testing. AWS Certified Security e CCSP são úteis em cargos cloud-AppSec mid-a-senior. CISSP fica relevante em níveis senior+ por visibilidade de management, nunca como sinal júnior. CompTIA Security+ é aceitável como base. CISSP, CISM, CRISC empilhadas em nível júnior na verdade reduzem as taxas de callback de AppSec porque fazem pattern-match com candidatos GRC.

True-positive rate SAST (0,42 → 0,78 é concreto), MTTR para achados sev-1 e sev-2, cobertura de threat-model em serviços novos como porcentagem, adoção de security-champions como porcentagem dos times, eficiência de payouts de bug-bounty (payout-por-critical e time-to-triage), taxa de pre-prod findings closed pre-release e cobertura de provenance de artefatos de supply-chain. CVs sem pelo menos três dessas métricas são filtrados antes do screen do recruiter.

Sim, ambos. Um ruleset Semgrep público com adoção mensurável (stars, contribuidores, uso downstream) é o sinal de maior alavancagem em nível júnior e mid-level. Reports HackerOne ou Bugcrowd com valores de pagamento e CVE IDs provam leitura do lado atacante. Ambos são explicitamente buscados durante o sourcing na Stripe, Cloudflare, GitHub, Datadog, Atlassian e Coinbase.

Três sinais. Primeiro, uma troca de vendor explícita com cifra em dólares (matei Veracode por Semgrep+CodeQL, 620 mil USD recuperados). Segundo, um engagement embedded por mais de 6 meses com uma org de produto, com delta de cobertura. Terceiro, mentoria que converteu 1 a 2 SDEs em rotação AppSec. Se seu CV tem os três, você é competitivo para senior. Se não tem nenhum, você lê como júnior avançado independente dos anos de experiência.

Certificações recomendadas

Offensive Security Certified Professional (OSCP)

Offensive Security

middle

GIAC Web Application Penetration Tester (GWAPT)

GIAC (SANS Institute)

middle

AWS Certified Security Specialty

Amazon Web Services

middle

Preparação para entrevistas

Entrevistas de Application Security Engineer testam profundidade de leitura de código, instintos de threat modeling e maturidade de pensamento de programa. Espere um code review ao vivo (Python/Go/TypeScript com padrões intencionalmente vulneráveis), uma sessão de threat modeling em quadro branco sobre um serviço fictício, e um deep dive em uma ferramenta na qual você reivindica mestria (Semgrep, CodeQL, Burp Suite Pro, Caido). Rounds senior+ adicionam perguntas de estratégia ASPM, walk-throughs de decisões de vendor e design de supply-chain provenance (Sigstore, Cosign, SLSA Level 3). Rounds lead adicionam economia de bug-bounty, consolidação de vendor e simulação de readout ao audit committee.

Perguntas frequentes

Perguntas comuns:

  • Me leve por um threat model recente: escopo, framework, artefatos, mitigações
  • Por que você manteve uma ferramenta SAST e matou outra? Quais métricas dirigiram a decisão?
  • Descreva um engagement embedded com um time de produto e o que você entregou
  • Como você mede se seu secure-SDLC está funcionando?
  • Percorra um exercício tabletop que você conduziu e as lacunas que ele expôs

Dicas: Tenha pronto uma troca explícita de vendor, uma rotação de threat-modeling e um resultado de mentoria. Entrevistadores senior sondam trabalho cross-team. Evite pura profundidade técnica sem framing de programa.

Atualizado:
Usar este modelo