Как стать DevSecOps-инженером, и почему это выгодно?

По прогнозам экспертов, около 30% российских разработчиков проприетарного ПО в ближайшие годы внедрят DevSecOps. В 2023 году интерес к безопасной разработке стали проявлять даже стартапы, которые ранее не планировали строить ИБ-процессы. Вместе с увеличением популярности методологии растет потребность в профильных специалистах. Но из-за кадрового дефицита на рынке компании испытывают трудности при найме экспертов по безопасной разработке, в частности DevSecOps-инженеров, которые выполняют незаменимую роль при внедрении методологии. В статье мы разберемся, какие задачи выполняет DevSecOps-инженер, насколько он сегодня востребован на рынке, чего от него ждут работодатели и как привлекают в компанию, а также поговорим о тонкостях освоения профессии.

Внедряет ИБ-инструменты в инфраструктуру компании, контролирует безопасность вокруг процессов разработки, строит CI/CD-пайплайны и автоматизирует процессы обеспечения защищенности. Также DevSecOps-инженер следит за тем, чтобы технологический стек был грамотно настроен, корректно работал и правильно интегрировался в процесс разработки. Еще он участвует в создании проектной документации, подготовке пользовательских инструкций и формировании базы знаний, а также консультирует команды разработчиков, эксплуатации и ИБ-специалистов по вопросам функционирования инструментов безопасности.

На момент написания статьи на Хабр Карьере было опубликовано 596 вакансий для DevSecOps-инженеров, на hh.ru — 124 объявления. Около 59% из них релевантны для специалистов с опытом от 3 до 6 лет. Согласно исследованию сервиса «Зарплата.ру» и онлайн-школы Skillfactory, в третьем квартале 2023 года 34% работодателей планировали сделать выбор в пользу ИБ-специалистов уровня middle, 35% — искать руководителей отделов, 17% — «сеньоров». Сегодня перед организациями стоят конкретные задачи, связанные с импортозамещением и отражением киберугроз, у игроков мало времени, поэтому для решения насущных проблем им нужны уже готовые специалисты.

По тем же данным, 38% компаний не отказываются от стажеров, ведь экспертов с необходимым уровнем компетенций крайне мало. Примерно 43% объявлений для DevSecOps-инженеров собрали меньше 10 откликов. Это соответствует общей ситуации на рынке: на одну открытую вакансию в сфере информационной безопасности приходится менее одного резюме. Можно сделать вывод, что в этой области рынок «принадлежит» кандидату. По прогнозам Research and markets, рынок DevSecOps в ближайшие годы будет расти с максимальным среднегодовым темпом более 25%, и в 2028 году его мировое значение достигнет $17,24 млрд. Это значит, ценность DevSecOps-инженеров на рынке будет только увеличиваться.

За опытными DevSecOps-инженерами идет настоящая охота – корпорации выделяют огромные ресурсы на расширенный соцпакет и всевозможные “плюшки”. Тем временем, средний бизнес дает больше свободы в принятии решений и реализации проектов, применяет индивидуальный подход и помогает развивать личный бренд.

Зарплатная вилка довольно длинная – от 80 000 (Junior) до 450 000 рублей (Senior). Middle может зарабатывать 250 000–350 000 рублей. Уровень зарплаты — это важный, но не единственный критерий выбора специалиста. Опытный специалист охотнее выбирает компанию, которая предлагает интересный для него технологический стек. А еще они уже давно привыкли к гибкому графику работы. Организации дают эту свободу – 80% вакансий указывает возможность работать удаленно и сдвигать начало рабочего дня на пару часов вперед.

Компании заботятся о том, чтобы сотрудники соблюдали work-life balance, и стараются расширять привычный ДМС по мере своих возможностей. Многие из них предлагают соискателям оплату спортивных занятий, сессий с психологом, а крупные игроки развивают целые льготные программы внутри. Также DevSecOps-инженеру необходимо непрерывное обучение и развитие. И большинство организаций разделяют концепцию lifelong learning – во всех вакансиях кандидатам обещают выделять временные и материальные ресурсы на внешние и внутренние обучающие курсы.Помимо материальных привилегий, бизнес заинтересован в том, чтобы сделать сотрудника «звездой». В описании вакансий все компании обещают участие в митапах, вебинарах и конференциях на тему информационной безопасности.

Важно понимать, что профессия настолько же ответственная, насколько интересная. Для неё критичны высокий уровень знаний и постоянное обучение. Набор компетенций зависит от того, какие стандарты и инструментарий используют организации и для каких задач разрабатывается ПО. Рассмотрим подробнее основные требования компаний к DevSecOps-инженерам:

Знание операционных систем. Понимание принципов работы ОС поможет выполнить задачи по оптимизации процессов безопасной разработки. В этом вопросе стоит изучить механизмы обмена информацией, файловые системы, хранилища данных, технологии виртуализации. В дальнейшем эти компетенции будут полезны при работе с облаком. Учитывая эту перспективу и тенденцию импортозамещения, для изучения можно выбрать Linux. К тому же требование «Опыт администрирования OC Linux» встречается примерно в 40% вакансий для DevSecOps-инженеров.

Понимание облачных технологий. В 2022 году рост российского рынка облачных услуг составил 35–40%. По прогнозам экспертов, в текущем году тенденция сохранится и объем отрасли увеличится более чем на 40%, поэтому многие компании ожидают, что кандидат разбирается в базовых принципах безопасности облачных инфраструктур. Одна из них — Kubernetes. Это ПО с открытым исходным кодом для управления контейнеризированными приложениями. Еще нужно обратить внимание на GitHub, Jenkins и Terraform (применяется для работы в модели Infrastructure as Code). Знание всех этих инструментов также пригодится при работе in-house.

Владение языками программирования. Чтобы строить эффективные процессы, DevSecOps-инженеру нужно понимать код, который генерируют разработчики, особенно на уровне уязвимостей и ошибок безопасности. Знание как минимум одного языка – требование 90% компаний. Чаще всего в вакансиях указаны Python или Golang, еще встречаются C#, Java, Ruby, PHP, JavaScript и SQL.Знание методик тестирования. Важно разбираться в распространенных уязвимостях хотя бы из перечней OWASP и списка известных проблем безопасности CWE. Это поможет понять причины появления ошибок в коде и сформулировать задачи, которые должны выполнять автоматизированные ИБ-инструменты.

Понимание методологии DevSecOps. Специалисту нужно знать, как устроена концепция и по каким принципам она работает. В этом направлении следует изучить процессы CI/CD и Secure SDLC. Также для большинства работодателей будет плюсом, если кандидат знаком с основными фреймворками безопасной разработки — это Microsoft SDL, OWASP SAMM, BSIMM. Еще не лишним будет «подружиться» со стандартами информационной безопасности, например ГОСТ Р 56939-2016 и ISO/IEC 27001, в частности для финсектора – 683-П, 802-П, 719-П, ГОСТ 57580, профиль защиты ЦБ, PCI DSS.

Знание принципов работы практик безопасности. DevSecOps-инженер должен знать, какие задачи решают основные ИБ-практики — SAST, DAST, SCA и OSA, CS, ASOC, MAST. Будет полезно изучить доступные на рынке инструменты, реализующие конкретные практики. Например, в сфере статического анализа кода это AppChecker, PT Application Inspector, PVS-Studio, динамического тестирования — OWASP ZAP (Zed Attack Proxy), PT BlackBox, Стингрей, оркестрации и корреляции — AppSec.Hub.

Хорошие коммуникативные навыки. В данной профессии этот софт-скилл играет большую роль, так как специалисту предстоит взаимодействовать с разработчиками, тестировщиками, инженерами и аналитиками – описывать архитектуру продукта и указывать его недостатки с точки зрения безопасности. Навыки продуктивной работы с разными командами дают большое преимущество на рынке.

Высшее техническое образование. Это требование встречается не так часто. Тем не менее каждая десятая компания отмечает важность фундаментального образования или профессиональной переподготовки в области информационной безопасности.

Самостоятельно погрузиться в тему может быть сложно. Разложить всё по полочкам, разобраться со сложными моментами или хотя бы получить основные знания помогут профильные учебные программы. Но российское высшее образование не успевает сегодня за тенденциями ИБ-индустрии, поэтому DevSecOps-инженеров пока не готовят в государственных вузах и колледжах. В частных учебных заведениях и онлайн-школах программы есть, и они предполагают большой объем самостоятельного обучения и освоения необходимого инструментария. Также существует риск, что полученные знания и навыки могут оказаться невостребованными у работодателей, к которым вы хотите попасть. Поэтому помимо обучения полезно пройти на стажировку в компании, которая занимается внедрением DevSecOps-решений. Ниже мы кратко рассмотрим доступные курсы.

Стандартизированное программирование (DevSecOps)

Учебное заведение: университет «Синергия»

Описание: в рамках программы разбирается методология DevOps, в частности CI/CD, Docker, Kubernetes, и ключевые темы ИБ, среди которых сетевые протоколы, стандарты разработки защищенных систем, угрозы безопасности веб-приложений, тестирование ПО. Также в программу входит блок, посвященный администрированию информационных систем, и практика в формате проектной деятельности.

Целевая аудитория: выпускники школ и колледжей, действующие специалисты.

Длительность: 4–4,5 года.

Уровень: высшее образование (диплом бакалавра).

Внедрение и работа в DevSecOps

Учебное заведение: онлайн-школа OTUS

Описание: в курсе рассматриваются базовые понятия и процессы информационной безопасности, уязвимости из классификаций OWASP, особенности разработки защищенного кода, контейнерных и serverless-приложений, а также способы и нюансы интеграции ИБ-инструментов и их использования в рамках DevSecOps.

Целевая аудитория: разработчики, DevOps-инженеры, администраторы, тестировщики, архитекторы, ИБ-специалисты.

Длительность: 5 месяцев.

Уровень: дополнительное образование (сертификат о прохождении курса).

Специалист DevSecOps

Учебное заведение: Академия АйТи

Описание: преподаватели курса разбирают основы программирования, концепцию безопасной разработки и ее ключевые практики, а также способы трансформации DevOps в DevSecOps, роли специалистов, участвующих во внедрении методологии, ИБ-стандарты и требования регуляторов.

Целевая аудитория: DevOps-инженеры, архитекторы ПО.

Длительность: 272 ак. ч.

Уровень: профессиональная переподготовка (диплом о переподготовке).

Специалист по безопасной разработке приложений

Учебное заведение: онлайн-школа CyberEd

Описание: программа курса предусматривает разбор основ разработки защищенного ПО, инструментов и методов построения безопасного окружения приложений, принципов реализации ИБ-процессов в рамках SDL-цикла.

Целевая аудитория: специалисты по безопасности приложений с опытом от года, DevOps-инженеры, будущие руководители AppSec-отдела.

Длительность: 84 ак. ч. занятий с преподавателем и 166 ак. ч. самостоятельной работы.

Уровень: дополнительно образование (диплом о переподготовке).

Построение DevSecOps

Учебное заведение: Академия кибербезопасности Swordfish Academy

Описание: в программе детально разбирается методология DevSecOps и существующие фреймворки для ее реализации, подробно рассматривается стратегия построения процесса безопасной разработки, практики обеспечения защищенности, нюансы внедрения и использования ИБ-инструментов и преимущества доступных на рынке технологий. Программа включает в себя интерактивный курс и тренинг с экспертом.

Целевая аудитория: разработчики, тестировщикам, ИБ-специалисты, ИТ-архитекторы, DevOps-инженеры, системные аналитики, руководители ИТ-проектов.

Длительность: 5 ч. (интерактивный курс), 8/16 ак. ч. (тренинг с экспертом).

Уровень: дополнительное образование (сертификат о прохождении программы).

В ближайшие годы спрос на DevSecOps-инженеров будет расти. Это довольно узкая область, в которой пока нет строгих требований к экспертам: компании работают по-своему, используя определенные инструменты, и им нужны специалисты с конкретными компетенциями. Но приобретать эти навыки новичкам придется самостоятельно, с помощью профильных курсов, которые сегодня можно пересчитать по пальцам, или на стажировках. Тем, у кого есть опыт в разработке или DevOps, будет легче. Однако профессиональная среда часто бывает строга к новеньким, поэтому им нужно проявлять гибкость, идти в ногу с тенденциями индустрии и помимо hard skills развивать soft skills. В частности, DevSecOps-инженеру необходимы коммуникативные навыки, чтобы обосновывать внедрение того или иного инструмента и налаживать контакт с разработчиками и ИБ-специалистами. Пройдя через все сложности, можно стать редким экспертом, за которого будут бороться многие компании.