ИИ спешит на помощь DevSecOps code

На три вакансии один специалист

DevSecOps/AppSec уже не экзотика для рынка. Компании готовы платить специалистам за безопасность на этапе разработки, отмечают в HH.ru. Арифметика простая: стоимость устранения уязвимостей возрастает в 10 раз на поздних этапах разработки, в 640 раз — на стадии запуска приложения и в 1000 раз, если уязвимость привела к ИБ-инциденту и пострадали пользователи. Гораздо дешевле провести Code Review и Secure SDLC, чем платить миллионные штрафы за утечку.

Спрос на специалистов по безопасности растёт по мере развития разработки: к 2028 году её доля увеличится с 14 до 24% от объёма ИТ-рынка, сообщает ГК Б1. По данным исследования, проведённого ГК «Солар» и hh.ru, с 2025 года активно искать специалистов по кибербезопасности стали предприятия реального сектора: тяжёлое машиностроение (рост спроса на 40%), энергетика (64%), торговля (75%), производство товаров (85%). Рынок остро нуждается в кадрах, владеющих компетенциями не только в кибербезопасности, но и понимающих конкретное производство (OT-безопасность, защита АСУ ТП).

«Как производитель инструментов безопасной разработки, мы видим, что на рынке существенно вырос спрос на специалистов DevSecOps/AppSec. При этом требования к кандидатам стали более экспертными и точечными. Очевидно, что компании начали применять целевой подход к найму и перестали брать специалистов для галочки», — говорит основатель платформы безопасной разработки CodeScoring Алексей Смирнов. Это, по его мнению, связано с ежегодным ростом количества кибератак. Компаниям необходимо защищать не только существующие приложения организаций, но и обеспечивать безопасность новых сервисов.

Однако соотношение числа вакансий в сфере DevSecOps/AppSec и резюме говорит о серьёзном дефиците таких кадров. По данным ГК «Солар» и hh.ru, специалистов по безопасной разработке сегодня в три раза меньше, чем требуется бизнесу. Доля вакансий в этой сфере в 2025 году — 4,8%, резюме — 1,5%. В 2024 году наблюдалась схожая картина: 4 и 1,3% соответственно. Наибольший спрос на спецов по безопасной разработке сейчас отмечается в ИТ-отрасли (46% от всех вакансий на DevSecOps/AppSec) и финансовом секторе (21%), рассказали «Киберболоиду» в hh.ru.

Такая ситуация, по мнению экспертов, говорит о сложившемся дисбалансе в подготовке кадров — рынку нужны специалисты нового поколения, которых вузы практически не выпускают. Это тормозит внедрение практик безопасной разработки в компаниях. Тренд подтверждают и участники рынка. «Сейчас недостаточно иметь в штате специалиста, который просто проверяет готовую программу перед выпуском — таких на рынке много. Нам нужны универсалы, разбирающиеся в коде, его уязвимостях и способные самостоятельно программировать. Таких профессионалов — единицы, искать их можно очень долго», — говорит руководитель направления по информационной безопасности «1С-Битрикс» Роман Стрельников.

Чтобы решить проблему дефицита кадров в безопасной разработке, компании вынуждены выращивать таких специалистов внутри, тратя ресурсы на переобучение разработчиков или тестировщиков. Конкуренция за эти 1,5% кандидатов будет ещё жёстче, чем за обычных ИБ-специалистов, считают в HH.ru.

Разработка безопасного ПО требует от специалиста компетенций на стыке нескольких профессий: информационной безопасности, разработки, DevOps и управления процессами внедрения изменений, считает начальник управления обеспечения процессов развития Банка России (офис CTO Центробанка) Максим Кожокарь. «Такой набор компетенций редко встречается у одного специалиста, поэтому сообщество DevSecOps и AppSec остаётся относительно небольшим, а дефицит кадров в этой области ощущается особенно остро. Для решения этого вопроса мы делаем ставку на обучение и развитие собственных сотрудников по данному направлению. Практический опыт внедрения инструментов и применения подходов РБПО позволяет специалистам постепенно формировать необходимые знания и навыки. Дополнительно этому способствуют распространение лучших практик и обмен опытом внутри компании, что помогает масштабировать компетенции на более широкий круг сотрудников. А дальше «пропаганда и реклама» — популяризация подходов безопасной разработки внутри компании, которая позволяет масштабировать необходимые компетенции. Несмотря на кажущуюся простоту такого подхода, формирование необходимых компетенций — это долгий, сложный и системный процесс», — говорит эксперт.

Решение кадрового вопроса в сфере безопасной разработки зависит от уровня зрелости процесса – если компания в начале пути, оптимально нанять «секьюрити-чемпиона», который задаст стандарты и развернет практики, говорит  начальник отдела решений безопасности прикладного программного обеспечения компании «Газинформсервис» и технический куратор продукта SafeERP Сергей Устенко. Однако для долгосрочного развития ключевой драйвер — выращивание своих кадров внутри команд разработки, считает он. Построение зрелого DevSecOps —  длительный, цикличный путь. Важный компонент безопасной разработки ПО – обучение и тренинг разработчиков, тестировщиков и аналитиков. Это позволяет не только закрыть текущие потребности, но и повысить уровень зрелости процесса БРПО всей компании, говорит Сергей Устенко.

Лидер стрима ESM платформы «Сфера», ИТ-холдинг Т1 Данила Клоков рассказал, что для решения кадрового вопроса команда платформы производства ПО «Сфера» использует комбинированный подход: «Нанимаем опытных специалистов на ключевые роли и одновременно выращиваем кадры через запуски собственных стажёрских программ. В среднем, они длятся 3-6 месяцев. Мы не противопоставляем эти пути, а совмещаем: опытный лид выстраивает процессы и наставничество, а стажёры получают практику и постепенно закрывают потребность в линейных ролях. Без собственного «выращивания» закрыть нехватку кадров на рынке было бы невозможно».

В УЦСБ ядро команды безопасной разработки сформировано из опытных экспертов, участвовавших в крупных проектах для компаний финансовой сферы, говорит руководитель группы инновационных решений направления безопасной разработки УЦСБ Илья Новойдарский. «Наша команда растет за счет молодых кадров, которые приобретают опыт под нашим началом. В партнерстве с Уральским федеральным университетом запустили годовой курс по безопасной разработке, отбираем сильных студентов, а затем через летнюю школу и практику принимаем лучших в команду. Мы выстроили внутреннее наставничество. Опытные специалисты (DevSecOps, AppSec) обучают джунов на реальных задачах: разбору уязвимостей, настройке инструментов, код-ревью. Ведущий ежедневно проверяет результаты младших — отчеты по статическому анализу, ручные проверки, выводы по инъекциям и бизнес-логике. Только когда качество анализа уязвимостей становится стабильно высоким, мы допускаем джуна до самостоятельной работы», — отметил он.

Руководитель направления облачной безопасности MWS Cloud Platform Алексей Федулаев рассказал, что компания активно работает со стажерами: «После успешной стажировки, берём кандидатов в штат. У нас уже есть несколько таких успешных кейсов».

Дорогие кадры

Дефицит кадров в безопасной разработке ускоряет гонку зарплат. Так, медианный уровень оплаты в таких вакансиях в 2024 году был на уровне 246 тысяч рублей, в 2025-м — 253 тысячи.

Как отмечается в исследовании «Солара» и hh.ru, по итогам прошлого года предлагаемые зарплаты для начинающих специалистов по безопасной разработке с опытом от 1 года до 3 лет составляли от 107 тысяч до 140 тысяч рублей. Динамика уровня оплаты для начинающих специалистов в данной сфере почти не прослеживается и остаётся стабильной. На рынке достаточно джунов, при этом остро не хватает зрелых специалистов с подтверждёнными навыками и успешными кейсами выстраивания системы защиты с нуля. Это приводит к существенному росту зарплат опытных руководителей, отмечают авторы исследования.

Специалистам среднего уровня квалификации компании были готовы предложить в 2025-м от 193 тысяч до 260 тысяч рублей, профессионалам высокого уровня квалификации — от 330 тысяч до 420 тысяч рублей. Авторы исследования делают вывод, что существенная разница в уровне оплаты между начинающими специалистами и опытными кадрами показывает высокий порог входа и высокую цену ошибки.

В результате растёт ценность инженеров с бэкграундом в разработке (Python, Go, Java), а не только в администрировании Linux. ИБ-специалисты, не владеющие компетенциями в безопасной разработке, будут вынуждены доучиваться или рассматривать позиции в более низких зарплатных сегментах, сообщают аналитики ГК «Солар» и hh.ru. «Мы уже можем говорить об «элитизации» ИБ в целом и формировании некой высшей лиги в лице DevSecOps-инженеров, чья зарплата уже обгоняет зарплату обычных специалистов по ИБ и приближается к топ-менеджменту», — резюмируют эксперты.

Результат гонки зарплат — увеличение доли расходов на персонал в структуре затрат на разработку ПО. HR-специалисты ГК «Солар» проанализировали фонд оплаты труда (ФОТ) для DevSecOps-команд на год в зависимости от уровня квалификации:

ИИ как альтернатива

«Безопасная разработка — одно из наиболее дорогих и экспертных направлений в информационной безопасности. Поэтому рыночным трендом становится внедрение специализированных ИИ-инструментов, которые могут стать помощником для профессионалов в самых трудоёмких операциях по верификации и исправлению уязвимостей», — говорит руководитель отдела развития бизнеса ПО Solar appScreener Владимир Высоцкий.

Компании всё чаще используют ИИ-инструменты для балансировки расходов на DevSecOps, снижения объёма рутинных операций и обеспечения устойчивости экономической модели в разработке софта. Уже сейчас более 70% новых корпоративных приложений создаются с использованием low-code/no-code и GenAI. Формируется спрос на инструменты автоматизации анализа кода (SAST, DAST) и специалистов, умеющих с ними работать, сообщают «Солар» и hh.ru.

Например, в «1С-Битриксе» используются автоматизированные сканеры, которые сами сканируют код на ошибки, избавляя людей от рутины. Благодаря этому эксперты не тратят времени на поиск простых багов, а занимаются сложными задачами по архитектуре защиты.

Алексей Смирнов говорит о росте запросов на автоматизацию рутинной деятельности как с применением классических подходов анализа данных и машинного обучения, так и с использованием современных LLM. «Есть понятные монотонные операции, которые нуждаются в автоматизации, например, триаж (процесс первичной оценки, классификации и приоритизации инцидентов ИБ или уязвимостей) или снижение ложноположительных срабатываний. Есть и менее очевидные процессы. Так, сейчас происходит переход к новой парадигме безопасности в разработке: блокировать пайплайны уже не модно — необходимо применять автоисправления всего, до чего может дотянуться автоматизация», — рассказывает эксперт.

 Всё это на порядок снижает трудочасы, которые раньше уходили на прения между ИТ и ИБ, и заодно освобождает время специалистов по безопасности — теперь они могут потратить его на закрытие более полезных задач. При грамотном применении правильных ИИ-инструментов та же команда сможет обслуживать больше проектов без найма новых дорогих специалистов, говорят участники ИБ-рынка.

В то же время, по словам Владимира Высоцкого, важно, чтобы использовались LLM, обученные на практике исправления уязвимостей миллионов софтверных проектов, работающие в закрытом контуре, а результаты их работы обязательно должен проверять опытный AppSec-инженер. «ИИ может заменить десять рук, но решение всегда остаётся за человеком. И даже в этом случае бизнес может сформировать оптимальный состав команды DevSecOps и снизить затраты на ФОТ на 20–50% в зависимости от масштабов разработки», — говорит Владимир Высоцкий.

Такого подхода придерживаются и в ООО «Лада Цифра». «В нашей политике безопасной разработки использование ИИ-систем генерации кода регламентировано. В частности, их использование не допускается для начинающих разработчиков. Мы считаем, что специалист сначала должен сформировать базовые профессиональные навыки и научиться самостоятельно решать задачи. Когда разработчик достигает необходимого уровня компетенций и может уверенно выполнять работу без постоянной поддержки коллег, использование таких инструментов становится допустимым», — рассказал директор по информационной безопасности «Лада Цифра» Дмитрий Берковец. В «Лада Цифра» кадры для безопасной разработки чаще ищут среди пентестеров, а потом дообучают их.

Всё это на порядок снижает трудочасы, которые раньше уходили на прения между ИТ и ИБ, и заодно освобождает время специалистов по безопасности — теперь они могут потратить его на закрытие более полезных задач. При грамотном применении правильных ИИ-инструментов та же команда сможет обслуживать больше проектов без найма новых дорогих специалистов, говорят участники ИБ-рынка.

В то же время, по словам Владимира Высоцкого, важно, чтобы использовались LLM, обученные на практике исправления уязвимостей миллионов софтверных проектов, работающие в закрытом контуре, а результаты их работы обязательно должен проверять опытный AppSec-инженер. «ИИ может заменить десять рук, но решение всегда остаётся за человеком. И даже в этом случае бизнес может сформировать оптимальный состав команды DevSecOps и снизить затраты на ФОТ на 20–50% в зависимости от масштабов разработки», — говорит Владимир Высоцкий.

Такого подхода придерживаются и в ООО «Лада Цифра». «В нашей политике безопасной разработки использование ИИ-систем генерации кода регламентировано. В частности, их использование не допускается для начинающих разработчиков. Мы считаем, что специалист сначала должен сформировать базовые профессиональные навыки и научиться самостоятельно решать задачи. Когда разработчик достигает необходимого уровня компетенций и может уверенно выполнять работу без постоянной поддержки коллег, использование таких инструментов становится допустимым», — рассказал директор по информационной безопасности «Лада Цифра» Дмитрий Берковец. В «Лада Цифра» кадры для  DevSecOps разработки чаще ищут среди пентестеров, а потом дообучают их.

Что будет с безопасной разработкой дальше?

В 2026 году опытных специалистов по безопасной разработке по-прежнему будет не хватать, считает Роман Стрельников. На общую ситуацию в этой сфере, по его мнению, могут повлиять два фактора:

• внедрение ИИ — компании, которые быстро научатся использовать ИИ для проверки кода, получат преимущество. Они смогут делать больше работы силами меньшего числа дорогих экспертов;
• требования государства — регуляторы ужесточают правила РБПО, особенно для госструктур и КИИ. Это заставит всех серьёзно относиться к защите кода на этапе разработки, а не создавать видимость для отчётности.

В то же время, как отмечает Алексей Смирнов, многие образовательные учреждения усилили свои программы в области безопасной разработки. Вендоры активно участвуют в образовательной деятельности: читают лекции по теме, выступают на конференциях и предоставляют образовательные лицензии вузам.

Большое влияние на кадровую политику оказывают регулятор ФСТЭК России и РБПО-сообщество: появились новые понятные стандарты безопасной разработки и методические рекомендации. Профильные специалисты охотнее делятся опытом друг с другом. «Всё это положительно сказывается на привлечении и подготовке квалифицированных кадров. Рынок кадров в безопасной разработке живой, тренды правильные, но рывком ничего не изменится, нужно время», — считает эксперт.