DevSecOps расшифровывается как «Development Security Operations». Так называют подход в IT-разработке, подразумевающий автоматизацию процессов сборки, настройки и развертывания программного обеспечения, а также элементов защиты от взлома и хакерских атак.
Описание профессии
Мы уже писали о профессии DevOps-инженера. В настоящее время это весьма востребованные специалисты, однако, IT-индустрия не стоит на месте и угрозы хакерских атак растут по экспоненте, поэтому в 2024 году требования к специальности расширились.
Таким образом DevSecOps-специалист — это лидер-разработчик, который отвечает за развертывание необходимого программного обеспечения, а также координацию программистов, сисадминов и специалистов по компьютерной безопасности.
Ключевое отличие метода DevSecOps от DevOps в том, что сотрудник ИБ подключается к процессу на этапе разработки системы, а не после того, как она выпущена в релиз и настроена. При прежнем подходе «безопасник» тестировал ПО на возможность проникновения, не имея возможности повлиять на ход разработки и исправить уязвимости по ходу действия. Это удорожало конечный продукт, делало его менее надежным и более уязвимым к утечкам данных.
Соответственно, инженер DevSecOps помимо контроля работы основной команды должен согласовывать разработку и с рекомендациями «безопасника».
Designed by freepik
Чем занимаются DevSecOps-инженеры
Основная задача специалиста — внедрение соответствующего стека (пакета технологий) в цикл разработки с последующим развертыванием. Поскольку весь DevOps строится на микросервисной архитектуре, требования могут быть разными, в зависимости от того, какой именно инструментарий используется заказчиком и под какие нужды разрабатывается ПО.
Поэтому, чем занимаются DevSecOps-инженеры, проще разобрать на примере требований из вакансии:
-
Проведение первоначальной технической настройки окружения на стороне клиента.
-
Проведение установки и настройки платформы и её модулей в инфраструктуре клиента.
Выполнение работ 1-ой и 2-ой линии технической поддержки платформы:
-
Корректировка настроек окружения (включая инфраструктурные и сетевые ограничения);
-
Корректировка настроек платформы и её модулей;
-
Сбор необходимой информации (логи, конфигурации, шаги воспроизведения проблемы) для команды разработки (3-ей линии поддержки) платформы.
-
Консультирование команды сопровождения клиента по техническим вопросам установки, настройки и эксплуатации платформы.
-
Анализ накопленного опыта по внедрению, взаимодействие с аналитиками и разработчиками платформы для её дальнейшего развития.
Требования к знаниям DevSecOps-инженеров
Поскольку речь о ключевом разработчике, то требования к его знаниям достаточно обширные. Специалист должен хорошо разбираться как в системном администрировании, так и в автоматизации задач.
Hard Skills
Помимо прочего, требуется навык работы с системами безопасности и security-сканерами, такими как SAST (AppScreener/Bandit/ Semgrep/Checkmarx), SCA (Dependency Check/Track, CycloneDX), DAST (ZAP) и другими.
Весьма важен опыт написания скриптов для автоматических процессов на базе Python, R, Bash, Go и других языков программирования. Также необходимы знания СУБД, систем мониторинга, облачных сервисов. Опыт работы с командной строкой Linux, системами контейнеризации и доставки (docker, podman, docker-compose, k8s, OpenShift, gitlab-ci, helm и другими), а также понимание общепринятых подходов (Agile-подход, SCRUM, DevOps) и методик в области безопасной разработки.
Soft Skills
Всех разработчиков помимо высокого интеллектуального уровня отличает умение работать в команде и согласовывать свои действия. На DevSecOps-специалистах при этом лежит двойная ответственность, так как они должны увязывать все решения команды воедино. Поэтому здесь требуются:
-
Коммуникабельность;
-
Стрессоустойчивость;
-
Умение работать в команде;
-
Навыки презентации;
-
Высокая работоспособность;
-
Готовность к форс-мажорам.
Где учиться на DevSecOps-инженера?
Designed by freepik
Путей в освоении этой профессии несколько:
-
Высшее техническое образование по направлениям «Информационная безопасность», «Программирование и информационные системы» и смежным с ними. Однако в процессе придется самостоятельно осваивать необходимый инструментарий и желательно попасть на стажировку в какую-либо из крупных компаний-разработчиков, которые занимаются внедрением DevOps-решений;
-
Онлайн-обучение на курсах. На данный момент есть немало образовательных платформ, которые обучают передовым подходам в DevOps. Такой вариант подойдет специалистам по системному администрированию или компьютерной безопасности, которые хотят повысить компетенции и сменить сферу деятельности.
Онлайн-школы, где есть курс по DevSecOps:
-
Нетология;
-
Skillbox;
-
OTUS;
-
Udemy;
-
EPAM Systems.
Зарплата DevSecOps-специалиста в 2024 году
Заработок в IT-индустрии всегда традиционно высок, но многое зависит от реальных навыков и опыта разработчика. В DevSecOps действует тот же принцип:
-
Junior — около 60000 руб./мес.;
-
Middle — от 100000 до 150000 руб./мес.;
-
Senior — от 260000 руб./мес. и выше.
Плюсы и минусы профессии DevSecOps-специалиста
Плюсы:
-
Престижность;
-
Востребованность;
-
Высокая зарплата;
-
Работа в офисе;
-
Официальное трудоустройство;
-
Возможность работать за границей.
Минусы:
-
Высокие требования к знаниям;
-
Необходимо непрерывное самообучение;
-
Высокая ответственность;
-
Ненормированный график работы.
