Рынку DevSecOps не хватает специалистов, а зарплаты идут вверх

Рынку DevSecOps не хватает специалистов, а зарплаты идут вверх

Рынку DevSecOps не хватает специалистов, а зарплаты идут вверх

На российском рынке безопасной разработки становится всё заметнее перекос между спросом и предложением. По данным совместного анализа HH.ru и ГК «Солар», специалистов в этой области сейчас требуется примерно в три раза больше, чем реально есть на рынке.

Аналитики отмечают, что в 2025 году вакансии по безопасной разработке составили 4,8% от общего числа предложений в сфере ИБ, тогда как резюме таких специалистов — только 1,5%. Иными словами, бизнесу нужны DevSecOps- и AppSec-специалисты, но найти их всё сложнее.

Проблема, как считают эксперты, не только в кадровом голоде как таковом. Речь уже идёт о более глубоком дисбалансе: рынок хочет специалистов нового типа, а система подготовки кадров не успевает за этим запросом. В результате компаниям всё чаще приходится «выращивать» таких сотрудников внутри — переучивать разработчиков, тестировщиков и других технических специалистов под задачи безопасной разработки.

На этом фоне ожидаемо ускоряется и рост зарплат. По итогам 2025 года начинающим специалистам по безопасной разработке с опытом от года до трёх лет предлагали от 107 тыс. до 140 тыс. рублей. Специалисты среднего уровня могли рассчитывать уже на 193–260 тыс. рублей, а опытные профессионалы — на 330–420 тыс. рублей.

Такой разброс, по сути, показывает, насколько дорогими стали зрелые кадры в этой сфере. Чем выше квалификация, тем сильнее цена ошибки — и тем дороже обходится специалист работодателю.

Расходы бизнеса на такие команды тоже быстро растут. По оценке HR-специалистов «Солара», годовой фонд оплаты труда команды безопасной разработки даже в относительно компактной конфигурации начинается примерно от 9,3 млн рублей. А более сильные и опытные составы уже требуют 25–26 млн рублей в год и выше.

На этом фоне компании всё активнее смотрят в сторону ИИ-инструментов. Но не как на полноценную замену инженерам, а скорее как на способ снять с них часть рутины: например, ускорить проверку кода, первичный анализ уязвимостей или подготовку вариантов исправлений. При этом, как подчёркивают эксперты, результаты работы таких систем всё равно должны проверять люди — особенно если речь идёт о серьёзных задачах AppSec.

По оценке «Солара», использование специализированных LLM-моделей в закрытом контуре может сократить годовой ФОТ AppSec-команд на 20–50% — в зависимости от масштаба разработки. Но это не отменяет главного: окончательное решение всё равно должно оставаться за инженером, а не за моделью.

В целом рынок движется к довольно понятной точке. DevSecOps и AppSec перестают быть чем-то факультативным или «для крупных компаний». Безопасность всё чаще встраивают прямо в процесс разработки, потому что исправлять уязвимости на ранних этапах заметно дешевле, чем разбираться с последствиями уже после запуска.

По приведённым оценкам, стоимость устранения уязвимости может вырасти в 10 раз на поздних этапах разработки, в 640 раз — на этапе запуска приложения и в 1000 раз, если проблема уже привела к ИБ-инциденту в работающем продукте.

На этом фоне растёт и спрос на специалистов, которые умеют работать не только с классическими ИБ-задачами, но и с инструментами автоматизации анализа кода — SAST и DAST, а также понимают саму разработку. Всё более ценными становятся инженеры с опытом в Python, Go, Java, а не только с администраторским или инфраструктурным бэкграундом.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru