Контроль на каждом этапе. Кто такой DevSecOps-инженер

Вопрос о том, кто такой DevSecOps-инженер и в чем его отличие от DevOps-специалиста, задают часто. Рассказываем, какими знаниями и навыками он должен обладать, сколько получают специалисты и как стать DevSecOps-инженером.

Кто такой DevSecOps-инженер

DevSecOps-инженер – это высококвалифицированный специалист IT-сферы. Он  отвечает за автоматизацию процесса создания приложений на каждом из этапов и обеспечивает взаимодействие программистов и системных администраторов.

Аббревиатура DevSecOps расшифровывается как Development Security Operations (разработка операций по обеспечению безопасности). Эта методология дополняет практику создания и поддержки программного обеспечения (DevOps), которая устраняет разрыв между интересами разработчиков, тестировщиков и пользователей, повышает эффективность производства программных продуктов и ускоряет разработку их новых версий.

Чем занимается DevSecOps-инженер:

• Обеспечивает сотрудничество всех участников процесса – разработчиков, IT-отдела и отдела безопасности. Все команды имеют одну цель – создать качественный продукт.
• Вводит в действие главный принцип работы команды: каждый отвечает за безопасность продукта на своем этапе работы.
• Стандартизирует требования безопасности на всех этапах разработки и максимально автоматизирует процессы проверки.
• Следит за грамотностью сотрудников в области информационной безопасности, поддерживает их знания на актуальном уровне.
• Измеряет, анализирует параметры безопасности и контролирует время на каждый этап разработки IT-продукта. Оценивает эффективность работы и устанавливает нормативы, на которые может ориентироваться каждый из участников процесса.

Профессия DevSecOps-инженер подходит людям, которые:

• Понимают программное и аппаратное обеспечение, готовы постоянно учиться и изучать новые технологии
• Имеют хотя бы базовые навыки программирования
• Способны принимать риски, готовы к экспериментам
• Стрессоустойчивы
• Внимательны к деталям
• Имеют аналитический склад ума
• Способны решать сложные технические задачи
• Умеют работать в команде и налаживать взаимодействие между людьми, обеспечить благоприятный микроклимат в коллективе

DevSecOps-инженер должен быть ответственным и грамотным специалистом, знать операционные системы и владеть навыками программирования, понимать, как устроена и по каким принципам работает методология DevSecOps, знать принципы работы ИБ-практик.

Сколько получает DevSecOps-инженер

Зарплата специалиста зависит от его квалификации и опыта работы. Другой немаловажный фактор – место проживания. Анализ на бирже “Фильтр работ” показал 118 вакансий: из них только 3 компании готовы взять на работу специалистов без опыта, но зарплату для начинающих DevSecOps-инженеров компания не указывает открыто. Московские компании предлагают работу специалистам с опытом от 3 лет, а профессионалам, более 6 лет работающим в сфере IT-безопасности, платят от 6 500 долларов.

Вакансии в России:

• 100 000–200 000 руб. – 662
• 220 000–330 000 руб. – 456
• от 330 000 руб. – 164
•  от 440 000 руб. – 58

Вакансии в Москве:

• 100 000–200 000 руб. – 297
• 220 000–330 000 руб. – 219
• от 330 000 руб. – 94
• от 440 000 руб. – 35
• от 550 000 руб. – 15

Вакансии в Санкт-Петербурге:

• от 125 000 руб. – 118
• от 215 000 руб. – 87
• от 305 000 руб. – 45
• от 395 000 руб. – 19
• от 490 000 руб. – 7

Какие плюсы и минусы профессии

Среди плюсов – наличие вакансий, то есть спрос на специалистов, и высокий уровень зарплаты. Предложения на рынке труда говорят о востребованности профессии, тем более что среди них – крупные предприятия-работодатели и финансовые учреждения. Меньше рисков потерять работу, если вы действительно профессионал.

О большом спросе говорит также факт, что слишком высоких требований к соискателю работодатели не ставят. 59% заказчиков готовы принять на работу DevSecOps-инженеров со стажем от 3 до 6 лет, 17% будут сотрудничать со специалистами уровня Senior. Спрос на специалистов будет только расти, как предполагают эксперты, на 25% в год.

Другие плюсы:

• Престижность
• Возможность работать удаленно

Минусы:

• Высокая ответственность: цена ошибки может быть значимой для бизнеса
• Высокие требования к знаниям и необходимость постоянно обучаться
• Ненормированный график работы

Чем DevSecOps-инженер отличается от DevOps-инженера

У DevOps-инженеров нет времени заниматься проверкой безопасности, их задача – выпускать новые версии приложений максимально быстро и без потери качества. В вопросах безопасности на всех этапах создания продукта главную роль играют DevSecOps-инженеры.

Раньше на соответствие политике безопасности проверялся уже готовый код. Специалисты DevSecOps внедряют механизмы контроля на каждом этапе разработки, поскольку уязвимости могут возникать на любом из них, а после выхода готового продукта приходится их исправлять. Эффект от экономии времени на ускоренный выпуск обновлений теряется. Гораздо эффективнее запускать механизмы проверки безопасности на каждом этапе разработки, чем и занимаются DevSecOps-инженеры, не проводя глобального изменения процесса.

Как стать DevSecOps-инженером

Получить профессию можно в государственных и частных учебных заведениях: колледжах и вузах.

Где и сколько учиться

Чтобы стать DevSecOps-инженером, нужно обучаться на направлениях, связанных с программной инженерией, информационной безопасностью, прикладной информатикой, информационными системами и технологиями.

• Университет «Синергия» предлагает получить диплом бакалавра по направлению «Стандартизированное программирование», где изучаются стандарты разработки защищенных систем и угрозы безопасности приложений. Учиться нужно 4–4,5 года.
• В Томском государственном университете (ТГУ) открыто бакалаврское направление «Математическое обеспечение и администрирование информационных систем». 
• Степень бакалавра по направлению «Программная инженерия» можно получить в Московском государственном техническом университете имени Н. Э. Баумана (МГТУ им. Н. Э. Баумана) и Московском государственном технологическом университете «Станкин» (МГТУ «СТАНКИН»). 
• Стать DevSecOps-инженером также позволит образовательная программа «Информационная безопасность» в Уральском федеральном университете имени первого Президента России Б. Н. Ельцина (УрФУ им. Б. Н. Ельцина). Обучение длится 4 года.

Доступно обучение в колледже – там тоже готовят DevOps-специалистов. Овладев необходимыми навыками, можно продолжить обучение и стать квалифицированным DevSecOps-инженером. Обучение длится 2 года 10 месяцев после 11 класса или на год дольше – после 9 класса. Программы доступны в колледже Университета «Синергия» (направление – «Программирование», колледже «Хекслет» («Информационные системы и программирование») и многих других.

Другие варианты обучения на DevSecOps-инженера:

• Самостоятельное с помощью книг, видеоуроков. Недорого или бесплатно, но из-за отсутствия системности может быть неэффективно, работодатели с недоверием относятся к таким специалистам.
• Курсы на образовательных платформах. Доступны для многих. Много внимания уделяется практике. Курсы предлагают IT- компания OTUS, «Академия АйТи», «Харб Карьера» и другие образовательные платформы.

Где и кем работать начинающему специалисту

На биржах труда можно найти вакансии на должность Junior DevSecOps-инженера без опыта работы или со стажем от 1 до 3 лет. Основные требования – понимание основ сетевого взаимодействия, базовое знание Linux, Windows Server, Bash, Python, СУБД PostgreSQL/MySQL, опыт построения CI/CD конвейера.

Тем, кто имеет недостаточно знаний для должности DevSecOps-инженера, придется начать карьеру с самой нижней ступени – с должности программиста. Пройти шаг за шагом всю лестницу, научиться создавать приложения и выявлять возможные уязвимости. Лучше всего делать это под руководством опытного наставника в крупной IT-компании. Многие работодатели предпочитают «воспитывать» кадры «под себя», поэтому заинтересованы обучать сотрудников и давать теоретические и практические знания.