Вопрос о том, кто такой DevSecOps-инженер и в чем его отличие от DevOps-специалиста, задают часто. Рассказываем, какими знаниями и навыками он должен обладать, сколько получают специалисты и как стать DevSecOps-инженером.
Кто такой DevSecOps-инженер
DevSecOps-инженер – это высококвалифицированный специалист IT-сферы. Он отвечает за автоматизацию процесса создания приложений на каждом из этапов и обеспечивает взаимодействие программистов и системных администраторов.
Аббревиатура DevSecOps расшифровывается как Development Security Operations (разработка операций по обеспечению безопасности). Эта методология дополняет практику создания и поддержки программного обеспечения (DevOps), которая устраняет разрыв между интересами разработчиков, тестировщиков и пользователей, повышает эффективность производства программных продуктов и ускоряет разработку их новых версий.
Чем занимается DevSecOps-инженер:
- Обеспечивает сотрудничество всех участников процесса – разработчиков, IT-отдела и отдела безопасности. Все команды имеют одну цель – создать качественный продукт.
- Вводит в действие главный принцип работы команды: каждый отвечает за безопасность продукта на своем этапе работы.
- Стандартизирует требования безопасности на всех этапах разработки и максимально автоматизирует процессы проверки.
- Следит за грамотностью сотрудников в области информационной безопасности, поддерживает их знания на актуальном уровне.
- Измеряет, анализирует параметры безопасности и контролирует время на каждый этап разработки IT-продукта. Оценивает эффективность работы и устанавливает нормативы, на которые может ориентироваться каждый из участников процесса.
Профессия DevSecOps-инженер подходит людям, которые:
- Понимают программное и аппаратное обеспечение, готовы постоянно учиться и изучать новые технологии
- Имеют хотя бы базовые навыки программирования
- Способны принимать риски, готовы к экспериментам
- Стрессоустойчивы
- Внимательны к деталям
- Имеют аналитический склад ума
- Способны решать сложные технические задачи
- Умеют работать в команде и налаживать взаимодействие между людьми, обеспечить благоприятный микроклимат в коллективе
DevSecOps-инженер должен быть ответственным и грамотным специалистом, знать операционные системы и владеть навыками программирования, понимать, как устроена и по каким принципам работает методология DevSecOps, знать принципы работы ИБ-практик.
Сколько получает DevSecOps-инженер
Зарплата специалиста зависит от его квалификации и опыта работы. Другой немаловажный фактор – место проживания. Анализ на бирже “Фильтр работ” показал 118 вакансий: из них только 3 компании готовы взять на работу специалистов без опыта, но зарплату для начинающих DevSecOps-инженеров компания не указывает открыто. Московские компании предлагают работу специалистам с опытом от 3 лет, а профессионалам, более 6 лет работающим в сфере IT-безопасности, платят от 6 500 долларов.
Вакансии в России:
- 100 000–200 000 руб. – 662
- 220 000–330 000 руб. – 456
- от 330 000 руб. – 164
- от 440 000 руб. – 58
Вакансии в Москве:
- 100 000–200 000 руб. – 297
- 220 000–330 000 руб. – 219
- от 330 000 руб. – 94
- от 440 000 руб. – 35
- от 550 000 руб. – 15
Вакансии в Санкт-Петербурге:
- от 125 000 руб. – 118
- от 215 000 руб. – 87
- от 305 000 руб. – 45
- от 395 000 руб. – 19
- от 490 000 руб. – 7
Какие плюсы и минусы профессии
Среди плюсов – наличие вакансий, то есть спрос на специалистов, и высокий уровень зарплаты. Предложения на рынке труда говорят о востребованности профессии, тем более что среди них – крупные предприятия-работодатели и финансовые учреждения. Меньше рисков потерять работу, если вы действительно профессионал.
О большом спросе говорит также факт, что слишком высоких требований к соискателю работодатели не ставят. 59% заказчиков готовы принять на работу DevSecOps-инженеров со стажем от 3 до 6 лет, 17% будут сотрудничать со специалистами уровня Senior. Спрос на специалистов будет только расти, как предполагают эксперты, на 25% в год.
Другие плюсы:
- Престижность
- Возможность работать удаленно
Минусы:
- Высокая ответственность: цена ошибки может быть значимой для бизнеса
- Высокие требования к знаниям и необходимость постоянно обучаться
- Ненормированный график работы
Чем DevSecOps-инженер отличается от DevOps-инженера
У DevOps-инженеров нет времени заниматься проверкой безопасности, их задача – выпускать новые версии приложений максимально быстро и без потери качества. В вопросах безопасности на всех этапах создания продукта главную роль играют DevSecOps-инженеры.
Раньше на соответствие политике безопасности проверялся уже готовый код. Специалисты DevSecOps внедряют механизмы контроля на каждом этапе разработки, поскольку уязвимости могут возникать на любом из них, а после выхода готового продукта приходится их исправлять. Эффект от экономии времени на ускоренный выпуск обновлений теряется. Гораздо эффективнее запускать механизмы проверки безопасности на каждом этапе разработки, чем и занимаются DevSecOps-инженеры, не проводя глобального изменения процесса.
Как стать DevSecOps-инженером
Получить профессию можно в государственных и частных учебных заведениях: колледжах и вузах.
Где и сколько учиться
Чтобы стать DevSecOps-инженером, нужно обучаться на направлениях, связанных с программной инженерией, информационной безопасностью, прикладной информатикой, информационными системами и технологиями.
- Университет «Синергия» предлагает получить диплом бакалавра по направлению «Стандартизированное программирование», где изучаются стандарты разработки защищенных систем и угрозы безопасности приложений. Учиться нужно 4–4,5 года.
- В Томском государственном университете (ТГУ) открыто бакалаврское направление «Математическое обеспечение и администрирование информационных систем».
- Степень бакалавра по направлению «Программная инженерия» можно получить в Московском государственном техническом университете имени Н. Э. Баумана (МГТУ им. Н. Э. Баумана) и Московском государственном технологическом университете «Станкин» (МГТУ «СТАНКИН»).
- Стать DevSecOps-инженером также позволит образовательная программа «Информационная безопасность» в Уральском федеральном университете имени первого Президента России Б. Н. Ельцина (УрФУ им. Б. Н. Ельцина). Обучение длится 4 года.
Доступно обучение в колледже – там тоже готовят DevOps-специалистов. Овладев необходимыми навыками, можно продолжить обучение и стать квалифицированным DevSecOps-инженером. Обучение длится 2 года 10 месяцев после 11 класса или на год дольше – после 9 класса. Программы доступны в колледже Университета «Синергия» (направление – «Программирование», колледже «Хекслет» («Информационные системы и программирование») и многих других.
Другие варианты обучения на DevSecOps-инженера:
- Самостоятельное с помощью книг, видеоуроков.Недорого или бесплатно, но из-за отсутствия системности может быть неэффективно, работодатели с недоверием относятся к таким специалистам.
- Курсы на образовательных платформах. Доступны для многих. Много внимания уделяется практике. Курсы предлагают IT- компания OTUS, «Академия АйТи», «Харб Карьера» и другие образовательные платформы.
Где и кем работать начинающему специалисту
На биржах труда можно найти вакансии на должность Junior DevSecOps-инженера без опыта работы или со стажем от 1 до 3 лет. Основные требования – понимание основ сетевого взаимодействия, базовое знание Linux, Windows Server, Bash, Python, СУБД PostgreSQL/MySQL, опыт построения CI/CD конвейера.
Тем, кто имеет недостаточно знаний для должности DevSecOps-инженера, придется начать карьеру с самой нижней ступени – с должности программиста. Пройти шаг за шагом всю лестницу, научиться создавать приложения и выявлять возможные уязвимости. Лучше всего делать это под руководством опытного наставника в крупной IT-компании. Многие работодатели предпочитают «воспитывать» кадры «под себя», поэтому заинтересованы обучать сотрудников и давать теоретические и практические знания.
