DevSecOps расшифровывается как «Development Security Operations». Так называют подход в IT-разработке, подразумевающий автоматизацию процессов сборки, настройки и развертывания программного обеспечения, а также элементов защиты от взлома и хакерских атак.
Описание профессии
Мы уже писали о профессии DevOps-инженера. В настоящее время это весьма востребованные специалисты, однако, IT-индустрия не стоит на месте и угрозы хакерских атак растут по экспоненте, поэтому в 2024 году требования к специальности расширились.
Таким образом DevSecOps-специалист — это лидер-разработчик, который отвечает за развертывание необходимого программного обеспечения, а также координацию программистов, сисадминов и специалистов по компьютерной безопасности.
Ключевое отличие метода DevSecOps от DevOps в том, что сотрудник ИБ подключается к процессу на этапе разработки системы, а не после того, как она выпущена в релиз и настроена. При прежнем подходе «безопасник» тестировал ПО на возможность проникновения, не имея возможности повлиять на ход разработки и исправить уязвимости по ходу действия. Это удорожало конечный продукт, делало его менее надежным и более уязвимым к утечкам данных.
Соответственно, инженер DevSecOps помимо контроля работы основной команды должен согласовывать разработку и с рекомендациями «безопасника».
Designed by freepik
Чем занимаются DevSecOps-инженеры
Основная задача специалиста — внедрение соответствующего стека (пакета технологий) в цикл разработки с последующим развертыванием. Поскольку весь DevOps строится на микросервисной архитектуре, требования могут быть разными, в зависимости от того, какой именно инструментарий используется заказчиком и под какие нужды разрабатывается ПО.
Поэтому, чем занимаются DevSecOps-инженеры, проще разобрать на примере требований из вакансии:
- Проведение первоначальной технической настройки окружения на стороне клиента.
- Проведение установки и настройки платформы и её модулей в инфраструктуре клиента.
Выполнение работ 1-ой и 2-ой линии технической поддержки платформы:
- Корректировка настроек окружения (включая инфраструктурные и сетевые ограничения);Корректировка настроек платформы и её модулей;
- Сбор необходимой информации (логи, конфигурации, шаги воспроизведения проблемы) для команды разработки (3-ей линии поддержки) платформы.
- Консультирование команды сопровождения клиента по техническим вопросам установки, настройки и эксплуатации платформы.
- Анализ накопленного опыта по внедрению, взаимодействие с аналитиками и разработчиками платформы для её дальнейшего развития.
Требования к знаниям DevSecOps-инженеров
Поскольку речь о ключевом разработчике, то требования к его знаниям достаточно обширные. Специалист должен хорошо разбираться как в системном администрировании, так и в автоматизации задач.
Hard Skills
Помимо прочего, требуется навык работы с системами безопасности и security-сканерами, такими как SAST (AppScreener/Bandit/ Semgrep/Checkmarx), SCA (Dependency Check/Track, CycloneDX), DAST (ZAP) и другими.
Весьма важен опыт написания скриптов для автоматических процессов на базе Python, R, Bash, Go и других языков программирования. Также необходимы знания СУБД, систем мониторинга, облачных сервисов. Опыт работы с командной строкой Linux, системами контейнеризации и доставки (docker, podman, docker-compose, k8s, OpenShift, gitlab-ci, helm и другими), а также понимание общепринятых подходов (Agile-подход, SCRUM, DevOps) и методик в области безопасной разработки.
Soft Skills
Всех разработчиков помимо высокого интеллектуального уровня отличает умение работать в команде и согласовывать свои действия. На DevSecOps-специалистах при этом лежит двойная ответственность, так как они должны увязывать все решения команды воедино. Поэтому здесь требуются:
- Коммуникабельность;
- Стрессоустойчивость;
- Умение работать в команде;
- Навыки презентации;
- Высокая работоспособность;
- Готовность к форс-мажорам.
Где учиться на DevSecOps-инженера?
Designed by freepik
Путей в освоении этой профессии несколько:
- Высшее техническое образование по направлениям «Информационная безопасность», «Программирование и информационные системы» и смежным с ними. Однако в процессе придется самостоятельно осваивать необходимый инструментарий и желательно попасть на стажировку в какую-либо из крупных компаний-разработчиков, которые занимаются внедрением DevOps-решений;
- Онлайн-обучение на курсах. На данный момент есть немало образовательных платформ, которые обучают передовым подходам в DevOps. Такой вариант подойдет специалистам по системному администрированию или компьютерной безопасности, которые хотят повысить компетенции и сменить сферу деятельности.
Онлайн-школы, где есть курс по DevSecOps:
- Нетология;
- Skillbox;
- OTUS;
- Udemy;
- EPAM Systems.
Зарплата DevSecOps-специалиста в 2024 году
Заработок в IT-индустрии всегда традиционно высок, но многое зависит от реальных навыков и опыта разработчика. В DevSecOps действует тот же принцип:
- Junior — около 60000 руб./мес.;
- Middle — от 100000 до 150000 руб./мес.;
- Senior — от 260000 руб./мес. и выше.
Плюсы и минусы профессии DevSecOps-специалиста
| Плюсы | Минусы |
| Престижность | Высокие требования к знаниям |
| Востребованность | Необходимо непрерывное самообучение |
| Высокая зарплата | Высокая ответственность |
| Работа в офисе | Ненормированный график работы |
| Официальное трудоустройство | |
| Возможность работать за границей |
