"— Нам нужен AppSec-инженер. — А, понял, баги искать? — Нет. — DevSecOps? — Нет. — SOC? — Бинго, тоже нет." Если ты тоже это проходил — читаем дальше.

🚫 AppSec — это НЕ:

❌ Пентестер — не имитирует атаки, не ищет баги за деньги. ❌ DevSecOps — не деплоит, не пилит пайплайн. ❌ SOC — не сидит в логах и не ловит инциденты в 2 часа ночи.

🔍 Что делает AppSec-инженер:

Лезет в архитектуру и говорит: «Если сюда прилетит XSS — кто пострадает? А где тут rate limit? А почему база в паблике?»

Настраивает SAST, DAST, SCA, чтобы баги ловились автоматически ещё до ревью. (Если ты не понял эти аббревиатуры — не страшно, главное, что AppSec знает 😎)

Пишет гайдлайны для разработчиков: «eval() — нет, токены в коде — тоже нет, .env — да, спасибо».

Учит команду думать, как злоумышленник (а иногда, как параноик): "ОК, а если бы я был атакующим — что бы я попробовал?"

📐 Где зона ответственности: Фаза - AppSec делает

Архитектура - Выявляет слабые места Разработка - Ревью, проверка кода, обучение CI/CD - Встраивает проверки Деплой - Участвует в оценке рисков Пост-прод - Вовлечён в RCA после инцидентов

Итого:

AppSec — это архитектор с паранойей. Он строит так, чтобы дом не обвалился, даже если в нем снесут пару стен.

Про то, чтобы код с самого начала был не дырявым, а здоровым. Чтобы "мы думали об этом сразу", а не через месяц после продакшена, когда кто-то уже слил базу.

AppSec — не мешает делать фичи. Он делает так, чтобы за них не было стыдно перед юзерами, безопасниками и ФСТЭК.

👉 Дальше по плану — кто такой DevSecOps. Подпишись, чтобы не перепутать с Jenkins-админом. Пиши в коммент "шпаргалка", я отправлю файл с описанием смежных профессий и как их отличить.

Если у тебя остались вопросы, пиши в комменты или в личку. Если ты аппсек и хочешь сказать, что я не прав, тоже пиши)