Наверяка, некоторые из вас знают, кто такой DevSecOps-инженер (если нет, то можете почитать тут, на рекламу можете не обращать внимания, нам нужна только специфика роли). Если кратко, то это такой человек, который берет на себя ответственность за автоматизацию и обеспечение безопасности разрабатываемых и эксплуатируемых сервисов. Он выстраивает безопасный CI/CD конвейер, внедряет в него сканеры уязвимостей (SAST, DAST, SCA и прочие), следит за безопасность и надёжностью сервисов в продакшене.
И да, так как этот человек отвечает за разработку, за эксплуатацию ПО в проде, за оптимизацию и надежность, за безопасность и автоматизацию, то и получает он зачастую больше, чем любой другой член продуктовой команды. Лично я знаю случаи, когда зарплата девсекопса была больше зарплаты продакта. И это вполне нормально, так как на этом человеке держится очень много процессов. Хорошие синьорные DevSecOps-ы стоят порядка 500 000 рублей в РФ.
Ну а наш бизнес очень любит экономить, поэтому из одного дорогого девсекопса родились сразу две новые роли подешевле – DevSec и SecOps. Дело в том, что не всем компаниям нужен такой рэмбо, который умеет и в разработку, и в сопровождение, поэтому кому-то, например, будет вполне достаточно нанять одного SecOps. Разделение обязанностей между этими ролями кроется в их названии. DevSec отвечает за всю безопасность вплоть до выкатки сервиса в продакшен, а SecOps никак не затрагивает разработку ПО, но обеспечивает его надежность и безопасность уже в проде.
Востребованы ли эти профессии? Да, причем каждая из них и очень сильно. На рынке ИБ, особенно в РФ, сейчас очень сильный дефицит кадров и не только в разрезе DevSecOps ролей, но и во всех остальных.
#Мнение
Твой Пакет Безопасности
