Как стать DevSecOps-инженером, и почему это выгодно?
По прогнозам экспертов, около 30% россий��ких разработчиков проприетарного ПО в ближайшие годы внедрят DevSecOps. В 2023 году интерес к безопасной разработке стали проявлять даже стартапы, которые ранее не планировали строить ИБ-процессы. Вместе с увеличением популярности методологии растет потребность в профильных специалистах. Но из-за кадрового дефицита на рынке компании испытывают трудности при найме экспертов по безопасной разработке, в частности DevSecOps-инженеров, которые выполняют незаменимую роль при внедрении методологии. В статье мы разберемся, какие задачи выполняет DevSecOps-инженер, насколько он сегодня востребован на рынке, чего от него ждут работодатели и как привлекают в компанию, а также поговорим о тонкостях освоения профессии.
Чем занимается DevSecOps-инженер
Внедряет ИБ-инструменты в инфраструктуру компании, контролирует безопасность вокруг процессов разработки, строит CI/CD-пайплайны и автоматизирует процессы обеспечения защищенности. Также DevSecOps-инженер следит за тем, чтобы технологический стек был грамотно настроен, корректно работал и правильно интегрировался в процесс разработки. Еще он участвует в создании проектной документации, подготовке пользовательских инструкций и формировании базы знаний, а также консультирует команды разработчиков, эксплуатации и ИБ-специалистов по вопросам функционирования инструментов безопасности.
Что происходит на рынке труда
На момент написания статьи на Хабр Карьере было опубликовано 596 вакансий для DevSecOps-инженеров, на hh.ru — 124 объявления. Около 59% из них релевантны для специалистов с опытом от 3 до 6 лет. Согласно исследованию сервиса «Зарплата.ру» и онлайн-школы Skillfactory, в третьем квартале 2023 года 34% работодателей планировали сделать выбор в пользу ИБ-специалистов уровня middle, 35% — искать руководителей отделов, 17% — «сеньоров». Сегодня перед организациями стоят конкретные задачи, связанные с импортозамещением и отражением киберугроз, у игроков мало времени, поэтому для решения насущных проблем им нужны уже готовые специалисты.
По тем же данным, 38% компаний не отказываются от стажеров, ведь экспертов с необходимым уровнем компетенций крайне мало. Примерно 43% объявлений для DevSecOps-инженеров собрали меньше 10 откликов. Это соответствует общей ситуации на рынке: на одну открытую вакансию в сфере информационной безопасности приходится менее одного резюме. Можно сделать вывод, что в этой области рынок «принадлежит» кандидату. По прогнозам Research and markets, рынок DevSecOps в ближайшие годы будет расти с максимальным среднегодовым темпом более 25%, и в 2028 году его мировое значение достигнет $17,24 млрд. Это значит, ценность DevSecOps-инженеров на рынке будет только увеличиваться.
Как компании привлекают специалистов
За опытными DevSecOps-инженерами идет настоящая охота – корпорации выделяют огромные ресурсы на расширенный соцпакет и всевозможные “плюшки”. Тем временем, средний бизнес дает больше свободы в принятии решений и реализации проектов, применяет индивидуальный подход и помогает развивать личный бренд.
Зарплатная вилка довольно длинная – от 80 000 (Junior) до 450 000 рублей (Senior). Middle может зарабатывать 250 000–350 000 рублей. Уровень зарплаты — это важный, но не единственный критерий выбора специалиста. Опытный специалист охотнее выбирает компанию, которая предлагает интересный для него технологический стек. А еще они уже давно привыкли к гибкому графику работы. Организации дают эту свободу – 80% вакансий указывает возможность работать удаленно и сдвигать начало рабочего дня на пару часов вперед.
Компании заботятся о том, чтобы сотрудники соблюдали work-life balance, и стараются расширять привычный ДМС по мере своих возможностей. Многие из них предлагают соискателям оплату спортивных занятий, сессий с психологом, а крупные игроки развивают целые льготные программы внутри. Также DevSecOps-инженеру необходимо непрерывное обучение и развитие. И большинство организаций разделяют концепцию lifelong learning – во всех вакансиях кандидатам обещают выделять временные и материальные ресурсы на внешние и внутренние обучающие курсы.Помимо материальных привилегий, бизнес заинтересован в том, чтобы сделать сотрудника «звездой». В описании вакансий все компании обещают участие в митапах, вебинарах и конференциях на тему информационной безопасности.
Что нужно работодателям
Важно понимать, что профессия настолько же ответственная, насколько интересная. Для неё критичны высокий уровень знаний и постоянное обучение. Набор компетенций зависит от того, какие стандарты и инструментарий используют организации и для каких задач разрабатывается ПО. Рассмотрим подробнее основные требования компаний к DevSecOps-инженерам:
Знание операционных систем. Понимание принципов работы ОС поможет выполнить задачи по оптимизации процессов безопасной разработки. В этом вопросе стоит изучить механизмы обмена информацией, файловые системы, хранилища данных, технологии виртуализации. В дальнейшем эти компетенции будут полезны при работе с облаком. Учитывая эту перспективу и тенденцию импортозамещения, для изучения можно выбрать Linux. К тому же требование «Опыт администрирования OC Linux» встречается примерно в 40% вакансий для DevSecOps-инженеров.
Понимание облачных технологий. В 2022 году рост российского рынка облачных услуг составил 35–40%. По прогнозам экспертов, в текущем году тенденция сохранится и объем отрасли увеличится более чем на 40%, поэтому многие компании ожидают, что кандидат разбирается в базовых принципах безопасности облачных инфраструктур. Одна из них — Kubernetes. Это ПО с открытым исходным кодом для управления контейнеризированными приложениями. Еще нужно обратить внимание на GitHub, Jenkins и Terraform (применяется для работы в модели Infrastructure as Code). Знание всех этих инструментов также пригодится при работе in-house.
Владение языками программирования. Чтобы строить эффективные процессы, DevSecOps-инженеру нужно понимать код, который генерируют разработчики, особенно на уровне уязвимостей и ошибок безопасности. Знание как минимум одного языка – требование 90% компаний. Чаще всего в вакансиях указаны Python или Golang, еще встречаются C#, Java, Ruby, PHP, JavaScript и SQL.Знание методик тестирования. Важно разбираться в распространенных уязвимостях хотя бы из перечней OWASP и списка известных проблем безопасности CWE. Это поможет понять причины появления ошибок в коде и сформулировать задачи, которые должны выполнять автоматизированные ИБ-инструменты.
Понимание методологии DevSecOps. Специалисту нужно знать, как устроена концепция и по каким принципам она работает. В этом направлении следует изучить процессы CI/CD и Secure SDLC. Также для большинства работодателей будет плюсом, если кандидат знаком с основными фреймворками безопасной разработки — это Microsoft SDL, OWASP SAMM, BSIMM. Еще не лишним будет «подружиться» со стандартами информационной безопасности, например ГОСТ Р 56939-2016 и ISO/IEC 27001, в частности для финсектора – 683-П, 802-П, 719-П, ГОСТ 57580, профиль защиты ЦБ, PCI DSS.
Знание принципов работы практик безопасности. DevSecOps-инженер должен знать, какие задачи решают основные ИБ-практики — SAST, DAST, SCA и OSA, CS, ASOC, MAST. Будет полезно изучить доступные на рынке инструменты, реализующие конкретные практики. Например, в сфере статического анализа кода это AppChecker, PT Application Inspector, PVS-Studio, динамического тестирования — OWASP ZAP (Zed Attack Proxy), PT BlackBox, Стингрей, оркестрации и корреляции — AppSec.Hub.
Хорошие коммуникативные навыки. В данной профессии этот софт-скилл играет большую роль, так как специалисту предстоит взаимодействовать с разработчиками, тестировщиками, инженерами и аналитиками – описывать архитектуру продукта и указывать его недостатки с точки зрения безопасности. Навыки продуктивной работы с разными командами дают большое преимущество на рынке.
Высшее техническое образование. Это требование встречается не так часто. Тем не менее каждая десятая компания отмечает важность фундаментального образования или профессиональной переподготовки в области информационной безопасности.
Как освоить профессию
Самостоятельно погрузиться в тему может быть сложно. Разложить всё по полочкам, разобраться со сложными моментами или хотя бы получить основные знания помогут профильные учебные п��ограммы. Но российское высшее образование не успевает сегодня за тенденциями ИБ-индустрии, поэтому DevSecOps-инженеров пока не готовят в государственных вузах и колледжах. В частных учебных заведениях и онлайн-школах программы есть, и они предполагают большой объем самостоятельного обучения и освоения необходимого инструментария. Также существует риск, что полученные знания и навыки могут оказаться невостребованными у работодателей, к которым вы хотите попасть. Поэтому помимо обучения полезно пройти на стажировку в компании, которая занимается внедрением DevSecOps-решений. Ниже мы кратко рассмотрим доступные курсы.
Учебное заведение: университет «Синергия»
Описание: в рамках программы разбирается методология DevOps, в частности CI/CD, Docker, Kubernetes, и ключевые темы ИБ, среди которых сетевые протоколы, стандарты разработки защищенных систем, угрозы безопасности веб-приложений, тестирование ПО. Также в программу входит блок, посвященный администрированию информационных систем, и практика в формате проектной деятельности.
Целевая аудитория: выпускники школ и колледжей, действующие специалисты.
Длительность: 4–4,5 года.
Уровень: высшее образование (диплом бакалавра).
Учебное заведение: онлайн-школа OTUS
Описание: в курсе рассматриваются базовые понятия и процессы информационной безопасности, уязвимости из классификаций OWASP, особенности разработки защищенного кода, контейнерных и serverless-приложений, а также способы и нюансы интеграции ИБ-инструментов и их использования в рамках DevSecOps.
Целевая аудитория: разработчики, DevOps-инженеры, администраторы, тестировщики, архитекторы, ИБ-специалисты.
Длительность: 5 месяцев.
Уровень: дополнительное образование (сертификат о прохождении курса).
Учебное заведение: Академия АйТи
Описание: преподаватели курса разбирают основы программирования, концепцию безопасной разработки и ее ключевые практики, а также способы трансформации DevOps в DevSecOps, роли специалистов, участвующих во внедрении методологии, ИБ-стандарты и требования регуляторов.
Целевая аудитория: DevOps-инженеры, архитекторы ПО.
Длительность: 272 ак. ч.
Уровень: профессиональная переподготовка (диплом о переподготовке).
Учебное заведение: онлайн-школа CyberEd
Описание: программа курса предусматривает разбор основ разработки защищенного ПО, инструментов и методов построе��ия безопасного окружения приложений, принципов реализации ИБ-процессов в рамках SDL-цикла.
Целевая аудитория: специалисты по безопасности приложений с опытом от года, DevOps-инженеры, будущие руководители AppSec-отдела.
Длительность: 84 ак. ч. занятий с преподавателем и 166 ак. ч. самостоятельной работы.
Уровень: дополнительно образование (диплом о переподготовке).
Учебное заведение: Академия кибербезопасности Swordfish Academy
Описание: в программе детально разбирается методология DevSecOps и существующие фреймворки для ее реализации, подробно рассматривается стратегия построения процесса безопасной разработки, практики обеспечения защищенности, нюансы внедрения и использования ИБ-инструментов и преимущества доступных на рынке технологий. Программа включает в себя интерактивный курс и тренинг с экспертом.
Целевая аудитория: разработчики, тестировщикам, ИБ-специалисты, ИТ-архитекторы, DevOps-инженеры, системные аналитики, руководители ИТ-проектов.
Длительность: 5 ч. (интерактивный курс), 8/16 ак. ч. (тренинг с экспертом).
Уровень: дополнительное образование (сертификат о прохождении программы).
Вывод
В ближайшие годы спрос на DevSecOps-инженеров будет расти. Это довольно узкая область, в которой пока нет строгих требований к экспертам: компании работают по-своему, используя определенные инструменты, и им нужны специалисты с конкретными компетенциями. Но приобретать эти навыки новичкам придется самостоятельно, с помощью профильных курсов, которые сегодня можно пересчитать по пальцам, или на стажировках. Тем, у кого есть опыт в разработке или DevOps, будет легче. Однако профессиональная среда часто бывает строга к новеньким, поэтому им нужно проявлять гибкость, идти в ��огу с тенденциями индустрии и помимо hard skills развивать soft skills. В частности, DevSecOps-инженеру необходимы коммуникативные навыки, чтобы обосновывать внедрение того или иного инструмента и налаживать контакт с разработчиками и ИБ-специалистами. Пройдя через все сложности, можно стать редким экспертом, за которого будут бороться многие компании.