DevSecOps-инженер: кто это, обязанности, зарплаты и как им стать в 2023 году. Обзор профессии.

Кто такой DevSecOps-инженер?

DevSecOps-инженер – высококвалифицированный специалист, который отвечает за автоматизацию всех этапов создания приложений и обеспечивает взаимодействие программистов и системных администраторов. Другими словами, он прорабатывает и автоматизирует сборку и доставку кода от разработки до производства.

Что делают DevSecOps-инженеры и чем занимаются?

Обязанности на примере одной из вакансий:

• Доставкой логов операционных систем Windows/Linux в Elastic.
• Написанием скриптов для управления компонентами безопасности на хостах (Firewall, CredGuard, AppArmor, Antivirus и другие).
• Повышением эксплуатационного качества наших сервисов, например, внедрения метрик работоспособности в готовые приложения.
• Созданием и поддержанием в актуальном состоянии документации.

Что должен знать и уметь DevSecOps-инженер? 

Требования к DevSecOps-инженерам:

• Использование CVS Git, решение конфликтов, работа с разными ветками одновременно
• Работа с инфраструктурой как с кодом (Ansible, Terraform, Packer)
• Управление непрерывной интеграцией, умение настраивать CI/CD пайплайны (GitHub, GitLab, Jenkins)
• Обеспечение стабильности и безопасности серверов
• Настройка мониторинга (Zabbix, Prometheus, ELK)
• Тестирование Ansible-кода (Molecule, Testinfra)
• Работа с СУБД
• Работа с облачными сервисами
• Работа с Docker и Kubernetes
• Внедрение DevOps в компании с существующими процессами
• Программирование на Python
• Разработка собственных решений CI/CD и мониторинга

Востребованность и зарплаты DevSecOps-инженеров

На сайте поиска работы в данный момент открыто 3 589 вакансий, с каждым месяцем спрос на DevSecOps-инженеров растет.

Количество вакансий с указанной зарплатой DevSecOps-инженера по всей России:

• от 110 000 руб. – 662
• от 220 000 руб. – 456
• от 330 000 руб. – 164
• от 440 000 руб. – 58
• от 550 000 руб. – 26

Вакансий с указанным уровнем дохода по Москве:

• от 110 000 руб. – 297
• от 220 000 руб. – 219
• от 330 000 руб. – 94
• от 440 000 руб. – 35
• от 550 000 руб. – 15

Вакансий с указанным уровнем дохода по Санкт-Петербургу:

• от 125 000 руб. – 118
• от 215 000 руб. – 87
• от 305 000 руб. – 45
• от 395 000 руб. – 19
• от 490 000 руб. – 7

Как стать DevSecOps-инженером и где учиться?

Варианты обучения для DevSecOps-инженера с нуля:

• Самостоятельное обучение – всевозможные видео на YouTube, книги, форумы, самоучители и т.д. Плюсы – дешево или очень недорого. Минусы – нет системности, самостоятельное обучение может оказаться неэффективным, полученные навыки могут оказаться невостребованными у работодателя;
• Онлайн-обучение. Пройти курс можно на одной из образовательных платформ. Такие курсы рассчитаны на людей без особой подготовки, поэтому подойдут большинству людей. Обычно упор в онлайн-обучении делается на практику – это позволяет быстро пополнить портфолио и устроиться на работу сразу после обучения.

Ниже сделали обзор 5+ лучших онлайн-курсов.

5+ лучших курсов для обучения DevSecOps-инженера: подробный обзор

1 место. Курс «Внедрение и работа в DevSecOps» — OTUS

https://otus.ru/lessons/devsecops/

Стоимость: 86 400 ₽

Курс предназначен для специалистов следующих профилей:

• Разработчиков
• DevOps инженеров и Администраторов
• Тестировщиков
• Архитекторов
• Специалистов по информационной безопасности
• Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

• Традиционные монолитные 2/3-Tier приложения
• Kubernetes приложения — в собственном ДЦ, Public Cloud (EKS, AKS, GKE)
• Мобильные iOS и Android приложения
• Приложения c REST API back-end.

Программа обучения:

Модуль 1. Базис знаний информационной безопасности

• Тема 1. Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
• Тема 2. Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Модуль 2. Обзор уязвимостей OWASP

• Тема 3. Разбор уязвимостей OWASP Top 10 Web
• Тема 4. Разбор уязвимостей OWASP Top 10 — REST API

Модуль 3. Особенности разработки безопасного кода и использования фреймворков

• Тема 5. Безопасная разработка в HTML/CSS и PHP
• Тема 6. Безопасная разработка и уязвимости программного кода
• Тема 7. Безопасная разработка в Java/Node.js
• Тема 8. Безопасная разработка в .NET
• Тема 9. Безопасная разработка в Ruby

Модуль 4. Разработка безопасных контейнерных и serverless приложений

• Тема 10. Обеспечение безопасности в ОС Linux
• Тема 11. Обеспечение безопасности в Docker контейнерах
• Тема 12. Обеспечение безопасности в Kubernetes

Модуль 5. Интеграция и работа с инструментами ИБ в рамках DevSecOps

• Тема 13. Обеспечение безопасности CI/CD тулчейна и DevOps процесса
• Тема 14. Обзор DevSecOps инструментария
• Тема 15. Анализ исходного кода на безопасность (SAST/ DAST/IAST)
• Тема 16. Применение защиты для REST-API внутри микро-сервисных приложений и на back-end.
• Тема Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection.
• Тема 18. Современные средства периметральной безопасности сети (NGFW/Sandbox)
• Тема 19. Моделирование угроз и тестирование на проникновение
• Тема 20. Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
• Тема 21. План проекта и методика трансформации организации в DevSecOps.

Модуль 6. Проектный модуль

• Тема 22. Выбор темы
• Тема 23. Консультации и обсуждения проектной работы
• Тема 24. Защита проектов.

После обучения вы:

1. заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);
2. получите сертификат о прохождении курса;
3. научитесь интегрировать в CI/CD и использовать инструменты ИБ
4. приобретете знания, необходимые для успешного использования ИБ инструментария;

2 место. Курс «DevOps-инженер» — Нетология

https://netology.ru/programs/devops

Стоимость: 99 000 ₽ или рассрочка на 24 месяца — 4 125 ₽ / мес

DevOps-инженер синхронизирует этапы создания программного продукта и отвечает за автоматизацию задач, связанных с настройкой и развёртыванием приложений. Использует системы управления конфигурациями, решения виртуализации и облачные инструменты для балансировки ресурсов.

Кому будет полезен этот курс:

• Сисадминам и специалистам по эксплуатации
  Получите структурированные знания. Изучите скриптовые языки и языки разметки и разберётесь в построении процесса DevOps.
• Начинающим DevOps-инженерам
  Научитесь правильно и эффективно выстраивать процесс DevOps в рамках своих рабочих задач и отработаете полученные знания.
• QA Automation Engineer
  Сможете привнести в работу лучшие практики DevOps и увеличить свою стоимость как специалиста. Или претендовать на работу в DevOps с более высокой зарплатой.
• Программистам
  Получите углубленные и структурированные знания, основанные на лучших практиках DevOps. Совершите плавный переход в новую профессию.

Программа курса:

1. DevOps и инфраструктурная инженерия
   В этом модуле вы овладеете базовой терминологией, используемой в процессе создания программного обеспечения. Познакомитесь с популярными методологиями разработки и поймёте их различия. Узнаете, зачем нужны инфраструктурные архитекторы и чем они занимаются.
2. Системы управления версиями
   В этому модуле вы узнаете, почему и как возникли системы управления версиями исходного кода. Получите практические навыки глубокой работы с Git репозиториями. Научитесь работать одновременно с несколькими репозиториями, синхронизировать их и создавать резервные копии. Познакомитесь со способами интеграции репозиториев со внешними системами. Узнаете, как контролировать процесс разработки ещё на уровне отправки кода в репозиторий.
3. Основы системного администрирования
   Разберётесь с Linux, Unix и другими видами ОС. Научитесь работать на продвинутом уровне с локальной сетью и интернет (MAC, Ethernet, TCP/IP, DNS). Попробуете на практике набор инструментов для отладки операционной системы и приложений.
4. Скриптовые языки и языки разметки: Python, Bash, YAML, JSON
   В этом модуле вы напишете ряд Bash-скриптов, которые можно будет использовать для решения типовых задач. Научитесь автоматизировать работу с помощью языка программирования Python. Научитесь создавать документы в формате YAML, JSON и конвертировать эти форматы между собой.
5. Виртуализация
   Узнаете различия видов виртуализации и контейнеризации. Научитесь управлять виртуальными машинами с помощью libvirtd. Напишете несколько Dockerfile, которые можно будет использовать в дальнейших проектах как примеры. Научитесь запускать несколько контейнеров одновременно и объединять их в виртуальную сеть.
6. Администрирование баз данных
   Узнаете, чем различаются SQL и NoSQL базы данных, и научитесь выбирать нужную из всего многообразия существующих решений. Познакомитесь с решениями для полнотекстового поиска. Овладеете навыками установки и настройки кеш-систем. Научитесь устанавливать и настраивать базы данных для нужд разработки. Познакомитесь с технологиями создания отказоустойчивых кластеров баз данных и кеш систем при помощи кластеризации и шардинга. Научитесь писать простые SQL-запросы и запросы для работы с NoSQL-базами данных.
7. Непрерывная разработка и интеграция
   Подробно разберём все этапы жизни ПО. Вы узнаете, как организовать взаимодействие между разработчиками, тестировщиками и системными администраторами. Получите практические навыки работы с Jenkins, TeamCity и Gitlab CI.
8. Мониторинг и логи
   Подробно разберётесь, зачем нужен мониторинг и какие параметры нужно контролировать. Узнаете, как организовать систему оповещения о различных событиях, чтобы узнавать о сбоях первым, а не от заказчика. Научитесь организовывать логирование всех действий приложений и анализировать эти логи. Овладеете навыками работы с elasticsearch, Logstash, Kibana и Graylog. Научитесь настраивать связку Prometehus + Grafana + Alertmanager. Познакомитесь с Zabbix для мониторинга физических и виртуальных машин.
9. Система управления конфигурациями
   Научитесь описывать инфраструктуру в виде кода. Сможете настроить удаленный сервер и восстановить его конфигурацию в случае необходимости. Узнаете набор уже готовых шаблонов для решения типовых задач конфигурирования серверов.
10. Облачная инфраструктура. Terraform
    Научитесь описывать конфигурацию любых сервисов, имеющих API, в виде кода при помощи Terraform. Научитесь выстраивать командные процессы работы над инфраструктурой. Овладеете навыками написания скриптов на Golang. Научитесь писать собственные расширения для Terraform.
11. Микросервисная архитектура
    Узнаете, в каких случаях выгодно использовать микросервисы вместо монолитного приложения. Научитесь проектировать отказоустойчивые системы. Познакомитесь с популярными веб-серверами и балансировщиками нагрузок.
12. Администрирование кластера Kubernetes
    Научитесь разворачивать кластер Kubernetes на собственных мощностях. Поймёте, из каких компонентов состоит control plane и на что нужно обращать внимание при администрировании собственного кластера Кубернетес. Узнаете, как с помощью навыков автоматизированного управления конфигурациями добавлять и удалять узлы, менять конфигурацию имеющихся нод.
13. Конфигурация Kubernetes
    С помощью полученных теоретических знаний развернём stateless-приложение. Усложним, добавив stateful зависимости. Воспользуемся готовыми манифестами для установки приложений в кластер.
14. Сетевая безопасность в Kubernetes
    Разберётесь, как хранить и использовать пароли внутри кластера и передавать конкретным приложениям. Узнаете, как управлять уровнем доступов контейнеров и подов. Научитесь контролировать взаимодействия подов между собой.
15. Организация проекта при помощи облачных провайдеров
    Освоите общие принципы создания проектов в облачных сервисах. Познакомитесь с основными инструментами, которые предоставляют облачные провайдеры.
16. Дипломный практикум в Cloud
    Сначала вы поэтапно изучите построение процессов, используемых в DevOps, в теории и на практических задачах, а затем выполните дипломный практикум в облачном сервисе Yandex.Cloud. Это позволит вам интегрировать накопленные знания, самостоятельно построить современный процесс DevOps и получить в портфолио серьезный проект, использующий систему непрерывной разработки и интеграции в самостоятельно развёрнутый Kubernetes кластер.
    Вы научитесь создавать базовую инфраструктуру с помощью Terraform, деплоить собственный Kubernetes кластер с помощью Ansible, настраивать Jenkins для деплоя сервисов в Kubernetes.

3 место.Курс «Профессия DevOps-инженер PRO» — Skillbox

https://skillbox.ru/course/profession-devops-pro/

Стоимость: Рассрочка на 34 месяца — 5 294 ₽ / мес

• Актуальные знания
• Обучение у экспертов в DevOps
• Воркшопы по разным DevOps-практикам
• Бонусные курсы по Kubernetes и облакам.

Кому подойдёт этот курс:

• IT-специалистам уровня Junior или Middle
  Вы сможете прийти в DevOps-инжиниринг из разработки или системного администрирования. Обучение поможет закрыть пробелы в знаниях и освоить смежную профессию, чтобы зарабатывать больше.
• Разработчикам и тестировщикам
  Вы разберётесь в тонкостях DevOps-методологии с нуля, сможете расширить свои компетенции на работе и повысите свою ценность как специалиста.

Чему вы научитесь:

• Работать с Docker
  Научитесь работать с самой популярной системой контейнеризации.
• Работать с инфраструктурой как с кодом
  Научитесь автоматизировать настройку серверов и инфраструктурных сервисов, чтобы обеспечивать быстрое развёртывание и сократить время восстановления после сбоев.
• Создавать решения мониторинга
  Научитесь создавать решения для мониторинга и обратной связи, чтобы повышать наблюдаемость работы системы.
• Автоматизировать процессы
  Узнаете, как запускать сборку при пуше в Git и настраивать CI/CD, чтобы автоматизировать рутинные процессы.
• Программировать на Python
  Начнёте писать код, чтобы лучше понимать тонкости развёртывания приложений и автоматизировать свою работу.
• Работать с системами контроля версий
  Освоите Git, чтобы эффективно работать с кодовой базой.

Программа:

Вас ждут онлайн-лекции и практические задания на основе реальных кейсов.
70 тематических модулей, 350 онлайн-уроков

1. Система контроля версий Git

• Версии программного кода
• Установка Git
• Индекс и частичные коммиты
• Сравнение версий
• Отмена изменений и откат версий
• Репозитории и коллективная работа
• Ветки — создание и управление
• Слияние и разрешение конфликтов
• Полезные инструменты
• Правила работы с Git

2. Python Basic

• Введение в Python
• Основы
• Операторы, выражения
• Условный оператор if, ветвления
• Условный оператор if: продолжение
• Цикл while
• For: циклы со счетчиком
• For: циклы со счетчиком ч.2
• Цикл for: работа со строками
• Вложенные циклы
• Числа с плавающей точкой (int/float)
• Функции
• float 2
• Базовые коллекции 1 — list (списки)
• Методы для работы со списками
• List comprehensions
• Базовые коллекции: Строки
• Базовые коллекции: Словари
• Базовые коллекции: Кортежи
• Функции — Рекурсия
• Про множества
• Функции — Правила оформления и документация
• Базовая работа с файлами 1
• Функции — Факториалы и сложные рекурсии
• Введение в ООП
• Работы с модулями
• IO, working with file system
• Элементы функционального программирования
• ООП-1
• ООП-2
• Исключения
• Протоколы python
• Основы работы с сетью
• Basic python features

3. Devops-инженер. Основы

• Введение в DevOps
• Знакомство с CD (Continuous delivery)
• Continuous integration с использованием GitLab CI
• Continuous delivery. Работа с окружением разработки и PROD
• Инфраструктура как код (IaC)
• Виртуализация и контейнеризация
• Docker
• Ansible
• Мониторинг
• Работа с инцидентами, дежурство
• Обратная связь
• Дипломная работа

4. Devops-инженер. Advanced

• Базы данных: выбираем решение под задачу
• Сети: продвинутый уровень
• Основы работы с облачными сервисами
• CI/CD: продвинутый уровень
• Виртуализация: продвинутый уровень
• Контейнеризация: Kubernetes
• IaC: продвинутый уровень
• Обратная связь: продвинутый уровень
• Основы безопасности
• Дипломная работа

5. Бонусные курсы

• Облачные сервисы
• Kubernetes
• Docker

6. Воркшопы для студентов

• Внедрение DevOps-практик в компании
• Внедрение Ansible
• Всё о мониторинге
• Архитектура GitLab
• Углубляемся в Gitlab CI
• Решение практических задач с применением Gitlab CI.

Диплом Skillbox

Подтвердит, что вы прошли курс, и станет дополнительным аргументом при устройстве на работу.

Курс «Practical DevSecOps Training and Certification» — Practical DevSecOps

https://www.practical-devsecops.com/

Стоимость: 58 200 ₽ — 131 035 ₽

Изучите концепции, инструменты и методы DevSecOps у отраслевых экспертов с помощью практического и практического курса. Овладейте реальными навыками в нашей современной онлайн-лаборатории и получите сертификат DevSecOps.

• 300+ Лабораторий
  Практические занятия для изучения каждого аспекта безопасности продукта.
• 1800+ часов работы в лаборатории
  24 × 7 доступ к лабораториям с помощью вашего браузера.
• Более 200 Сертифицированных Специалистов
  Присоединяйтесь к профессионалам из более чем 50 стран на 4 континентах.

Обучение и сертификация

• Изучите DevSecOps с помощью практического и практического обучения у экспертов.
• Поднимите свою карьеру на новые высоты, изучив новейшие технологии обучения DevSecOps с помощью “Самого полного курса DevSecOps на планете” и продемонстрируйте свой опыт организациям.
• На практическом онлайн-тренинге DevSecOps вы узнаете, как управлять безопасностью в масштабе, используя лучшие практики DevSecOps.
• Наша сертификация DevSecOps дает вам фактическое знание концепций DevSecOps в реальном мире, предоставляя участникам знания, основанные на задачах, а не на теории.

Курс «DevSecOps : Master Securing CI/CD» — Udemy

https://www.udemy.com/course/devsecops/

Стоимость: 6 990 ₽

Чему вы научитесь:

• DevSecOps best practices for building secure pipeline
• DevSecOps pipeline flow & DevOps pipeline
• Basics Of DevOps & DevSecOps
• DevOps + Security
• Jenkins Pipeline
• Security Tools Integration
• Jenkins Installation using docker
• Docker
• Free DNS hosting
• Quality Control
• Automation
• Automated Penetration Testing
• Threats Assessment
• Vulnerability Assesment
• Container Security
• Application Security
• DevOps
• Email & Slack notification
• source code security (github)
• Free
• Open Source
• secure coding practices using IDE pluggins
• CI/CD
• SAST
• DAST
• Shift Left
• IDE secure coding
• github security scheck
• containerization
• micro services
• secure docker images
• container security
• DevSecOps Engineering
• DevOps Training
• DevOps Engineer.

DevSecOps обеспечивает быструю и гибкую разработку приложений, в то же время обеспечивая безопасность вашего приложения с помощью автоматизированных проверок безопасности, интегрированных в конвейер. Это помогает повысить производительность и безопасность за счет интеграции этапов обеспечения безопасности в конвейере.

Для кого этот курс:

• Кандидаты в DevOps
• Кандидаты на CI/CD
• Инженер инфраструктуры или платформы
• Разработчик
• Инженер службы поддержки
• Новички
• Профессионал в области информационной безопасности
• Профессионалы в области кибербезопасности.

Курс «Introduction to DevSecOps» — EPAM Systems

https://careers.epam.by/training/training-listings/training.3560

Стоимость: бесплатно

Introduction to DevSecOps – это новый тренинг для тех, кто хочет познакомиться с процессом обеспечения безопасности на всех этапах разработки и обслуживания софта.

DevSecOps-инженеры гарантируют безопасность приложений и инфраструктуры начиная со старта проекта. Они владеют инструментами автоматизации и интеграции механизмов безопасности в процесс разработки, а их роль в проекте часто называют Security Champion. Идеальный Security Champion прокачен в области облачных технологий, DevOps и безопасности.

Для кого этот тренинг:

• Cтудентов последних курсов технических вузов
• Cпециалистов, которые хотят освоить профессию DevSecOps-инженера.

Тренинг проходит в открытом формате – кандидаты сами регистрируются, когда им удобно, и проходят тренинг с комфортной для себя скоростью. Мы приглашаем на тренинг всех желающих, без ограничений и предварительного отбора.

Обучение состоит из двух этапов.

• 1 ЭТАП:

Первый этап тренинга – это набор учебных курсов по базовым технологиям и инструментам DevOps-практики, необходимых для дальнейшего изучения DevSecOps. Программа состоит из учебных материалов с платформы LEARN и ссылок на внешние источники. Перевод слушателей на второй этап происходит по результатам проверки английского языка и технического интервью.

• 2 ЭТАП:

Кандидаты, которые успешно прошли первый этап тренинга, могут продолжить обучение на следующем. Второй этап состоит из углубления в DevOps, основы кибербезопасности и облачные технологии. Программа состоит из учебных материалов с платформы LEARN и ссылок на внешние источники.