← [Раздел](README.md) · [Главная](../README.md) # Сертификации и карьера DevSecOps ## Цель Составить **реалистичную карту сертификаций** и карьерных ролей: что даёт каждый экзамен, в каком порядке сдавать и как позиционировать себя на рынке (junior → mid DevSecOps). ## Предварительно - Завершён курс или эквивалентные знания CI/K8s/сканеров. - Понимание своего рынка: РФ/СНГ, EU remote, глобальный remote. ## Время ~40 минут чтения + планирование на 6–12 месяцев. ## Роли рядом с DevSecOps | Роль | Фокус | Пересечение | |------|-------|-------------| | **DevSecOps Engineer** | Пайплайны, политики, инструменты | Ваш целевой профиль | | AppSec Engineer | Код, threat modeling, pentest | Больше разработка | | Cloud Security | IAM, landing zone, CSPM | Меньше Git, больше AWS/GCP | | Security Analyst (SOC) | SIEM, алерты, IR | Меньше CI, больше 24/7 | | Platform / SRE | Надёжность, K8s | DevSecOps как специализация | DevSecOps часто сидит в **Platform** или **Engineering productivity** команде. ## Сертификации: обзор ### Фундамент (если мало общего IT) | Сертификат | Зачем | Сложность | |------------|-------|-----------| | CompTIA Security+ | Базовая теория ИБ | ★★☆ | | Linux Foundation IT Fundamentals | CLI, сеть | ★★☆ | ### DevOps / платформа | Сертификат | Зачем | |------------|-------| | **CKA** (Kubernetes Administrator) | Must-have для K8s-части DevSecOps | | CKAD | Если ближе к приложениям | | GitLab Certified Associate | При стеке GitLab | | AWS SA Associate / GCP PCA | Облако + IAM для секретов | ### Security-специализация | Сертификат | Зачем | |------------|-------| | **GIAC GCSA** / Cloud Security | Облачный hardening | | CSSLP (ISC)² | Secure SDLC, долгий цикл | | PNPT / eJPT | Практический pentest для понимания атакующего | | Certified DevSecOps Professional (разные вендоры) | Часто привязан к курсу | Для старта карьеры сильная связка: **Security+ или аналог → CKA → один cloud associate**. ## Порядок сдачи (пример трека 9 месяцев) ``` Месяц 1–2: Security+ (теория) Месяц 3–4: CKA (labs kind + killer.sh) Месяц 5–6: AWS/GCP associate + Vault learn Месяц 7–8: Pet-проект в портфолио Месяц 9: Mock interviews + опционально PNPT light ``` Подстраивайте под работу: 5–10 ч/неделю учёбы реалистично. ## Резюме: что писать **Плохо:** «Знаю Docker, Kubernetes, безопасность». **Хорошо (с метриками):** - Встроил Gitleaks + Trivy в GitLab CI для 40 репозиториев; 0 Critical CVE в prod > 30 дней. - Внедрил Vault Agent Injector для namespace `payments`; ротация секретов ежеквартально. - Провёл 2 tabletop IR; MTTR на secret leak снижен с 4 ч до 45 мин. Используйте STAR: Situation, Task, Action, Result. ## Где искать работу | Канал | Комментарий | |-------|-------------| | LinkedIn / hh.ru | Фильтр: DevSecOps, Product Security, Platform Security | | Open source | Контрибьют в Semgrep rules, Falco rules — видимость | | Конференции | Doklady на meetup (5–10 мин о лабе) | | Внутренний переход | DevOps → DevSecOps в текущей компании — частый путь | ## Зарплатные ожидания (ориентир, не гарантия) Зависят от региона и стека. DevSecOps обычно **+10–25%** к pure DevOps за счёт дефицита и ответственности. Уточняйте на local market surveys, не на SEO-статьях. ## Нетворкинг без токсичности - Пишите короткие write-up по [лабам](../11-praktikum/README.md). - Участвуйте в CTF (Juice Shop, OWASP WebGoat). - Менторство: объяснение Lab 01 коллеге — лучший способ закрепить. ## Самопроверка 1. Какая одна сертификация даст максимум ROI для K8s-heavy роли? 2. Чем DevSecOps в резюме отличается от «Security Engineer»? 3. Назовите три измеримых результата для bullet point. 4. Почему CKA без сканеров — неполный профиль? ## Ошибки при поиске первой роли DevSecOps 1. **Только сертификаты без GitHub** — работодатель не видит практику. 2. **Резюме «Security enthusiast»** без метрик и стека. 3. **Игнор soft skills** — DevSecOps = переговоры с разработчиками ежедневно. 4. **Узкий стек** — только AWS без понимания K8s или наоборот. Исправление: [portfolio-proekty.md](portfolio-proekty.md) + 2 mock interview. ## Переход из смежных ролей | Откуда | Что подчеркнуть | Что добрать | |--------|-----------------|-------------| | SysAdmin | Hardening, patching | CI, Git workflow | | Developer | Code review, SAST fixes | K8s, Vault, threat model | | QA | Тесты, автоматизация | Security tools в pipeline | | SOC | IR, логи | SDLC, IaC, меньше «только алерты» | ## Дальше [Портфолио и проекты](portfolio-proekty.md)