Acho que esse é o mais óbvio de todos: não existe Application Security (vulgo Segurança de Aplicações) sem a Aplicação xD. Quando se trata de programação dentro do mundo de AppSec, a pessoa que trabalha com isso precisa ser agnóstica quando se trata de linguagem de programação. Ao contrário do que muitas vezes ocorre no mundo Dev, não existe uma discussão de qual linguagem é "melhor ou pior": simplesmente existem as linguagens com que a sua empresa trabalha. Se a stack da sua empresa envolver Cobol, Erlang e Pascal, você precisará ser capaz de fazer code review nessas linguagens e ponto final. Claro que isso é uma hipérbole pra deixar clara a expectativa que terão sobre você. Obviamente, se você entrar no emprego como Jr/Sandy ou até mesmo como Pleno, em alguns casos, te permitirão ter uma curva de aprendizado. Mas, o foco aqui é que você pode até ter uma linguagem favorita, mas, todas em que você tocar, você precisará se tornar capaz de executar um code review.
Tratando-se de escolher uma linguagem inicial, considere escolher uma linguagem backend de alto nível para facilitar seu primeiro contato. Esqueça frameworks e abstrações no início. Durante a sua evolução profissional como AppSec, você perceberá a necessidade de aprender ṕelo menos uma linguagem de cada um dos principais paradigmas do mercado (imperativo, orientado a objetos, funcional e orientado a eventos). Entendendo "lógica de programação" como uma forma de pensar e resolver problemas, "paradigmas" são diferentes formas de encadeamento lógico para chegar a uma solução (te tapearam quando te disseram que só existia uma forma de lógica de programação, viu? ;-) ). Se você quiser chegar ao topo da carreira técnica, é necessário que você converse de igual pra igual com um dev nesse tópico!
Alguns links para te apoiar nesse tema:
- Curso Python - Gustavo Guanabara
- Paradigmas de Programação - João Paulo Leite
- How to Analyze Code for Vulnerabilities - Vickie Li (en)
- In Code Review We Trust! Finding Security Bugs (pt-br) - Helena Carreço
- Cybersecurity "Experts" suck at coding. It's a problem.
- OWASP Code Review Guide
- 💰 PentesterLab
- 💰 CodeBashing
Alguns links sobre desenvolvimento seguro: