# Роль DevSecOps-инженера

← [Раздел](README.md) · [Главная](../README.md)

## Цель

Понять **кто такой DevSecOps-инженер**, чем он занимается день за днём, какие навыки нужны на старте и куда расти дальше.

## Предварительно

- [DevOps и Security](devops-i-security.md)

## Время

**1,5–2 часа**

---

## Кто это?

**DevSecOps Engineer** (также: AppSec Engineer, Product Security, Security Automation Engineer) — специалист, который **встраивает безопасность в процесс разработки и эксплуатации** через инструменты, политики и обучение команды.

Это **не** только pentester и **не** только sysadmin. Это **мост** между Dev, Ops и Security.

---

## Типичные задачи

| Область | Примеры задач |
|---------|---------------|
| Pipeline | Добавить SAST/SCA в CI, quality gates |
| Инфраструктура | Hardening образов, scan Terraform |
| Секреты | Vault, ротация, запрет секретов в Git |
| Политики | OPA/Kyverno, baseline CIS |
| Инциденты | Playbooks, triage уязвимостей |
| Обучение | OWASP для dev, secure coding workshops |
| Метрики | Dashboard: CVE, coverage, MTTR |

---

## День из жизни (упрощённый)

```
09:00  Standup — блокер: pipeline падает на secret scan
10:00  Помощь dev: false positive в SAST, настройка правила
12:00  Review MR: Dockerfile без non-root user
14:00  Настройка policy: запрет :latest тегов в K8s
16:00  Разбор CVE в dependency — приоритизация с PM
17:00  Документация: runbook для rotation API keys
```

Много **коммуникации** и **автоматизации**, меньше «сидеть в тишине и взламывать».

---

## Навыки: hard vs soft

### Hard skills (учим в курсе)

| Уровень | Навыки |
|---------|--------|
| Junior | Linux, Git, CI basics, OWASP awareness |
| Middle | Docker/K8s, Terraform, SAST/SCA, IAM |
| Senior | Architecture threat modeling, policy design, IR lead |

### Soft skills (критичны!)

- **Коммуникация** — объяснить риск без запугивания
- **Эмпатия** — dev under deadline тоже человек
- **Приоритизация** — не всё CVE = P0
- **Документирование** — runbooks живут дольше героизма

---

## Карьерные пути

```mermaid
flowchart TD
  A[DevSecOps Engineer] --> B[Senior / Staff AppSec]
  A --> C[Security Architect]
  A --> D[Platform / DevOps Lead]
  A --> E[Detection & Response]
  B --> F[CISO track]
  C --> F
```

| Откуда приходят | Плюс |
|-----------------|------|
| Dev → DevSecOps | Понимание кода |
| Ops → DevSecOps | Инфра, K8s |
| Sec → DevSecOps | Threat modeling, compliance |
| Новичок (этот курс) | Нет «плохих привычек», широкая база |

---

## Чем НЕ занимается (часто путают)

| Задача | Обычно кто |
|--------|------------|
| Pentest на prod | External pentest / red team |
| Расследование фрода | Fraud / AML |
| Юридические договоры | Legal / DPO |
| Написание бизнес-логики | Backend dev |

DevSecOps **может участвовать**, но ядро — **безопасная поставка и эксплуатация**.

---

## Сертификации (опционально, не обязательны для старта)

| Сертификат | Фокус |
|------------|-------|
| CompTIA Security+ | Базовая security |
| AWS/GCP/Azure Security | Cloud |
| CKA / CKAD | Kubernetes |
| GIAC / OSCP | Углублённый offensive (не must) |

Курс даёт **практику**; сертификат — дополнительное подтверждение.

---

## KPI и метрики роли

| Метрика | Зачем |
|---------|-------|
| % репозиториев со SAST | Покрытие |
| Mean time to remediate (Critical CVE) | Скорость реакции |
| % pipeline с secret scan | Предотвращение утечек |
| Security training completion | Культура |
| Failed deploys из-за policy | Баланс (не только «блокировать») |

---

## Самопроверка

1. Назовите 3 задачи DevSecOps-инженера из таблицы выше.
2. Чем роль отличается от pentester?
3. Какие два soft skill самые важные для вас лично?
4. Из какого бэкграунда вы приходите и что уже можно использовать?

---

## Дальше

→ [02 — Минимум разработки](../02-minimum-razrabotki/README.md)