Эксперт назвал профессию в IT, которая станет одной из самых востребованных

Все больше организаций внедряют методику DevSecOps, которая предполагает проведение проверок безопасности на всех этапах разработки программного обеспечения, а не только в заключительной фазе. Сергей Полиненко, директор по продукту платформы «Сфера» (IT-холдинг Т1), рассказал РИАМО о том, почему DevSecOps-инженеры становятся одним из самых востребованных кадров в сфере IT.

Согласно исследованиям, проведенным в области информационной безопасности, почти 90% компаний пережили хотя бы одну кибератаку в прошлом году. Это создает значительный спрос на специалистов, которые могут интегрировать практики безопасности в процесс разработки. DevSecOps-инженеры не только выявляют уязвимости, но и обучают команды разработчиков правильным подходам к обеспечению безопасности, что способствует созданию более безопасного программного обеспечения на ранних этапах разработки.

С увеличением числа регуляторных требований в сфере защиты данных и конфиденциальности, таких как GDPR и других местных норм, компании ищут специалистов, умеющих работать в соответствии с этими стандартами. Более того, внедрение облачных технологий также требует знания специфики безопасности в облачных средах, что делает DevSecOps-инженеров еще более ценными специалистами на рынке труда.

Таким образом, на фоне возрастающего числа киберугроз и ускоряющейся цифровизации, перспектива карьерного роста для DevSecOps-инженеров выглядит весьма обнадеживающе. Компании будут искать профессионалов, которые могут не только реагировать на угрозы, но и предвосхищать их, создавая более безопасные и устойчивые системы.

DevSecOps-инженер — это профессионал, который встраивает защиту в каждый этап разработки ПО. Он работает на пересечении трех областей: программирования, информационной безопасности и эксплуатации систем. В отличие от традиционных DevOps-инженеров, ориентированных на выпуск обновлений, специалисты DevSecOps следят за безопасностью на всех этапах. Ранее тестирование кода на наличие уязвимостей осуществлялось после завершения проекта, что занимало много времени на исправление ошибок. Теперь проверки проводятся автоматически на всех этапах — от написания первых строчек кода до окончательного релиза. «Специалист настраивает автоматические проверки, анализирует уязвимости в коде и используемых библиотеках, защищает контейнерные инфраструктуры и работает с хранилищами секретов и токенов. Он помогает командам разработчиков создавать безопасные продукты, не замедляя рабочие процессы», — пояснил эксперт.

Помимо обеспечения безопасности кода, DevSecOps-инженеры также занимаются внедрением культуры безопасности в команду разработки. Они обучают сотрудников основам безопасного программирования и помогают интегрировать инструменты безопасности в CI/CD (непрерывная интеграция и непрерывная доставка) процессы. Это способствует быстрому выявлению и устранению уязвимостей, что, в свою очередь, снижает риски для бизнеса.

Также важным аспектом работы DevSecOps-инженеров является следование стандартам и требованиям compliance (соблюдение нормативных актов) в области безопасности данных. Они помогают компаниям соответствовать требованиям таких стандартов, как GDPR, HIPAA и PCI DSS, что особенно важно для организаций, работающих с конфиденциальной информацией.

Успешный DevSecOps-инженер должен обладать не только техническими навыками, но и хорошими коммуникативными способностями, чтобы эффективно взаимодействовать с различными командами и объяснять важность безопасности на всех уровнях разработки. Их работа часто включает в себя сотрудничество с командами QA, IT и бизнес-подразделениями для достижения общей цели — создания безопасного и надежного программного обеспечения.

Заработок и востребованность

Уровень дохода DevSecOps-инженеров в России зависит от опыта работы. Новички могут рассчитывать на зарплату от 90 до 150 тысяч рублей, специалисты со средним опытом зарабатывают от 180 до 350 тысяч, а опытные профессионалы могут получать от 330 до 500 тысяч рублей и более. «Повышенный спрос наблюдается в крупных IT-компаниях, банках, финтех-секторе и государственных учреждениях. Такие специалисты также нужны в стартапах, работающих с облачными технологиями и микросервисной архитектурой», — добавил Полиненко.

Кроме того, уровень спроса на DevSecOps-инженеров возрастает из-за растущей необходимости в обеспечении безопасности на всех этапах разработки программного обеспечения. Необходимость соблюдения стандартов безопасности и защитных мер требует от специалистов умения работать с новейшими инструментами и технологиями. Обучение и сертификация в области DevSecOps также могут повысить конкурентоспособность на рынке труда. Важно отметить, что многие компании предлагают возможности для удаленной работы, что делает эту профессию еще более привлекательной для специалистов по всему миру.

Необходимые навыки

«Для того чтобы стать DevSecOps-инженером, важно понимать принципы CI/CD, уметь работать с контейнерами, такими как Docker и Kubernetes, и знать основы безопасности, включая классификацию уязвимостей по OWASP», — рассказывает эксперт. Также необходимо владеть хотя бы одним языком программирования, чаще всего это Python или Golang. Важно иметь представление о инструментах для сканирования безопасности: статическом анализе кода, динамическом тестировании и проверке библиотек на возможные уязвимости. Дополнительно полезны знания облачных сервисов и систем автоматизации, таких как Terraform или Ansible.

«Не менее важно развивать коммуникативные навыки. DevSecOps-инженер будет постоянно взаимодействовать с разработчиками, тестировщиками и другими командами. Он должен уметь просто объяснять технические моменты и находить компромиссы», — отметил Полиненко. Также стоит обратить внимание на практические навыки работы с системами мониторинга и логирования, такими как Prometheus и ELK Stack, чтобы эффективно отслеживать состояние приложений и инфраструктуры. Знания о методах реагирования на инциденты и управления изменениями помогут быстрее реагировать на угрозы безопасности. Не лишним будет ознакомиться с принципами Agile и Scrum, что облегчит работу в многокомандных проектах. Наконец, постоянное обучение и участие в профессиональных сообществах помогут оставаться в тренде новых технологий и подходов в области DevSecOps.

Как начать карьеру в профессии

В российских вузах пока нет специализированных образовательных программ по DevSecOps, однако базовые знания можно получить, изучая направления, связанные с разработкой ПО, информационной безопасностью или прикладной информатикой. «Многие приходят из смежных областей — из DevOps, программирования или информационной безопасности. Начать стоит с изучения основ Linux, сетевого взаимодействия и принципов CI/CD», — рекомендует эксперт. Существует множество онлайн-курсов и программ профессиональной переподготовки, но они требуют значительной степени самостоятельной работы. Хорошим вариантом является стажировка в компании, которая применяет решения DevSecOps, что дает возможность обучаться под руководством опытных специалистов.

Важно развивать навыки командной работы и знания в области автоматизации процесса разработки. Ожидается, что рынок DevSecOps к 2025 году достигнет объема $10 миллиардов и, согласно прогнозам, вырастет до $37 миллиардов к 2035 году, увеличиваясь в среднем на 14% ежегодно. Профессия будет оставаться востребованной, и компании будут стремиться нанимать квалифицированных специалистов. «Для тех, кто готов совершенствоваться в этой области, открываются прекрасные карьерные возможности», — подытожил Полиненко. Также стоит обратить внимание на сертификационные программы, такие как Certified DevSecOps Professional (CDP) и другие, которые могут стать дополнительным плюсом при устройстве на работу.