status: open_source · public_edition v1.0 · maintained RU-focus + INTL-perspective

devsecops
roadmap_

Открытая дорожная карта DevSecOps инженера. От нуля до Senior. С фокусом на российский рынок и заделом на международный. Сделана как practical-маршрут: что учить, в каком порядке, какие инструменты, какие репозитории собрать, по каким критериям проверить себя перед собеседованием.

Junior-готовность
8–14 мес
Middle с опытом
2.5–3.5 года
Phases
7 + 5
Weekly load
20–30 ч
Junior RU
120–180k ₽
Middle RU
250–400k ₽
// maintained by Andrey_Gorin
Personal DevSecOps roadmap, опубликован как open knowledge base. Issues и PR приветствуются.
github telegram

для кого

Новички — иди по фазам P0→P6 последовательно. Действующие DevOps/разработчики — пробегись по P0 как чек-лист, остановись на P2 (AppSec). SOC-аналитики / blue team — у тебя сильный задел; нужен P1 (DevOps) и P3. Действующие DevSecOps — это карта для middle/senior-роста.

как читать

Каждая фаза — модули + exit criteria + deliverables. Exit criteria — это то, что ты должен уметь, чтобы идти дальше. Если хотя бы один пункт с [!] не закрыт — рано двигаться. Метки RU = специфика российского рынка, INTL = международный контекст.

что нужно делать

Сквозной pet-проект через все фазы. Публичный блог с write-up-ами по каждой теме. GitHub-портфолио — 4–6 закреплённых репо. На собеседовании не важно «прошёл курс» — важно «вот мой код, вот pipeline, вот разбор уязвимости».

чего НЕ делать

Не гнаться за сертификатами вместо практики (CKS/OSCP — отлично, но после собранного портфолио). Не учить инструменты в отрыве от контекста — Trivy без понимания CVE = бесполезно. Не пропускать AppSec: DevSecOps без понимания OWASP Top 10 — карго-культ.

один pet-проект

Один сквозной проект (Flask/FastAPI/Node API + auth + БД + фронт), через который проходит весь security-стек: SAST, SCA, DAST, IaC scanning, secrets, container scanning, K8s policies, supply chain, observability. Глубина > ширина.

shift-left mindset

DevSecOps — это сдвиг безопасности влево в SDLC. Не «найти уязвимость в проде», а «не дать ей попасть в код». Threat modeling на этапе дизайна, secure defaults в коде, проверки в pre-commit и CI, observability в проде.

учись публично

Каждая освоенная тема → write-up в блог. Это (1) проверка, что ты действительно понял; (2) портфолио для интервью; (3) обратная связь от сообщества. 10+ write-up-ов к моменту собеседования — must.

ai policy

Во время обучения 70%+ кода пиши сам. AI — для объяснений, ревью, поиска ошибок, тестов. На работе AI-ассистенты используются повсеместно, но каждую сгенерированную строку ты должен уметь обосновать — иначе ты не инженер, а оператор автокомплита.

timeline / overview
Wk 1–10 Mo 3–5 Mo 6–7 Mo 8–9 Mo 10–12 Mo 13–14 Parallel
phases / detail view
P0

Foundation · Python + сети + английский

~ 10 недель // самая важная фаза, не пропускать
+
Без Python и понимания HTTP/TCP весь дальнейший путь — карточный домик. Цель фазы: научиться читать чужой код, писать автоматизацию руками, уверенно понимать HTTP-запрос на каждом уровне. Если ты уже разработчик — пробежись по этой фазе как чек-листу, остановись на пробелах.
// modules
P0.1
Python до уровня automation
CS50P (Harvard, бесплатно) до сертификата + «Automate the Boring Stuff». Цель: написать скрипт 100+ строк без AI — парсинг файлов, regex, работа с API, unit-тесты. Это база для всех security-инструментов.
prerequisite python
P0.2
Сети: TCP/IP, HTTP, DNS, TLS
Куроуз «Top-Down Approach» главы 1–3 (или PowerCert на YouTube как визуал). Tcpdump/Wireshark на простых сценариях. Знай путь HTTP-запроса от клика до отрисовки — спрашивают на каждом интервью.
networks tcp/ip
P0.3
Linux user-level
Командная строка, права, процессы, systemd базово, journalctl, SSH с ключами, shell-скриптинг. «Linux Command Line» Шоттса как референс. Без bash-фобии.
linux bash
P0.4
Git правильно
Branches, merge vs rebase, pull requests, conflict resolution, conventional commits. Создай 4 публичных репо: devsecops-journey, devsecops-blog, semgrep-rules-custom, supply-chain-demo.
git github
P0.5
Web basics + Burp Community
HTTP методы, заголовки, status codes, cookies, sessions. Security headers (CSP, HSTS, X-Frame). PortSwigger Web Security Academy — раздел Getting Started + первые Apprentice-лабы. Burp Suite Community как proxy.
web burp portswigger
P0.6
Английский ≥ B1
Документация, конференции, чтение CVE — всё на английском. Anki + подкасты («Risky Business», «Darknet Diaries»). Цель: читаешь OWASP cheat sheets и RFC без переводчика. Учить с первого дня.
prerequisite english
P0.7
Pet-проект v0
Простой Flask/FastAPI: REST API, регистрация/логин, БД (SQLite/Postgres), минимальный фронт. Сознательно оставь учебные уязвимости (SQLi, XSS, broken auth) — их будешь чинить в P2.
portfolio flask/fastapi
  • CS50P или эквивалент пройден до сертификата
  • Без AI пишешь Python-скрипт 100+ строк (API/файлы/regex)
  • Читаешь чужой Python и базовый JS, объясняешь логику
  • Объясняешь словами весь путь HTTP-запроса от клика до отрисовки
  • Знаешь HTTP security headers и как их настроить
  • Английский B1+: уверенно читаешь доки, смотришь конференции с EN-субтитрами
  • Pet-проект v0 работает локально и в Docker, репо публичное
// deliverables
4 публичных репо на GitHub, CS50P сертификат, 3–5 write-up-ов в блоге, pet-проект v0 работает в Docker.
P1

DevOps base + Observability

~ 12 недель // prerequisite
+
Прежде чем добавлять Sec, должен быть надёжный Dev и Ops. Здесь — production-grade Docker, IaC, CI/CD, K8s базово, observability. DevSecOps инженер должен уметь всё, что умеет DevOps, плюс security-слой сверху.
// month 1 — production-grade base
P1.1
Linux production-grade
systemd: unit files, journal, таймеры. SELinux/AppArmor — что это, базовая настройка. Сетевой стек: iptables/nftables базово. «How Linux Works» Уорда выборочно.
linux systemd
P1.2
Docker production-уровень
Dockerfile best practices (порядок слоёв, .dockerignore, non-root, distroless, multi-stage builds). docker-compose с API + БД + Redis + nginx. Сети, volumes, healthchecks, ресурсные лимиты.
docker compose
P1.3
Ansible
Inventory, playbooks, roles, Ansible Vault. Цель: задеплоить pet-проект на VPS (Yandex Cloud / Selectel / Timeweb / любой) через Ansible. В РФ — стандарт инфраструктурной автоматизации.
ru-must ansible
// month 2 — CI/CD + IaC
P1.4
CI/CD: GitHub Actions + GitLab CI
GitHub Actions: workflows, jobs, secrets, matrix, reusable workflows, SHA-pinning (важно для supply chain). GitLab CI ключевой для РФ. Цель: оба пайплайна на pet-проекте — редкий и ценный навык.
portfolio actions gitlab
P1.5
Terraform basics
HCL, providers, resources, modules, state, workspaces. Развернуть инфру в Yandex Cloud (free tier есть) или AWS Free Tier. LocalStack как опция для AWS-эмуляции без затрат.
terraform iac
P1.6
Observability stack
Prometheus + Grafana: метрики, дашборды, alerting. Loki или ELK: централизованные логи. OpenTelemetry концептуально. Security невозможен без observability — нельзя защитить то, что не видишь.
prometheus grafana loki
// month 3 — kubernetes basics
P1.7
Kubernetes базово
Pod, Deployment, Service, ConfigMap, Secret, Ingress, PV/PVC, ServiceAccount. Helm чарт для pet-проекта. kubectl без алиасов поначалу — для запоминания. Minikube/Kind/k3s локально.
k8s helm
P1.8
GitOps (опц.)
ArgoCD или Flux: один из них в pet-проекте. Концепция «Git как источник истины» для инфры. Сильный плюс на интервью.
argocd gitops
P1.9
Secrets management
HashiCorp Vault — установка, базовые secrets engines (KV, dynamic DB). Интеграция с pet-проектом: API получает секреты из Vault, не из env. Никакого hardcoded в коде.
portfolio vault
  • Pet-проект развёрнут на VPS через Ansible (полностью идемпотентно)
  • CI/CD на GitHub Actions работает (build → test → push → deploy)
  • Опционально: GitLab CI как второй пайплайн (сильный плюс)
  • Pet-проект работает в Kubernetes с Helm
  • Prometheus + Grafana собирают метрики, есть рабочие дашборды
  • Loki/ELK для логов
  • Vault интегрирован, никаких секретов в коде
// deliverables
Pet-проект v1.0: запускается на K8s, есть CI/CD, IaC, observability. 3–5 write-up-ов о DevOps-стеке.
P2

AppSec Foundation · OWASP, threat modeling, secure coding

~ 8 недель // сердце DevSecOps
+
DevSecOps без AppSec — это просто DevOps с парой сканеров. Здесь ты учишься понимать уязвимости на уровне кода и архитектуры, а не на уровне «инструмент покраснел». Это то, что отличает middle от джуна на собеседовании.
P2.1
OWASP Top 10 — глубоко
Не просто «знаю названия», а: причина → пример уязвимого кода → пример эксплуатации → fix → как поймать сканером. По каждому из Top 10 — свой write-up. Best resource: PortSwigger Academy + OWASP cheat sheets.
prerequisite owasp
P2.2
PortSwigger Academy — Apprentice
Закрой все Apprentice-лабы + начни Practitioner. Это бесплатный и лучший в мире практикум по web-уязвимостям. SQLi, XSS, SSRF, IDOR, race conditions, deserialization — всё по лабам.
must-do portswigger
P2.3
Threat Modeling (STRIDE + DFD)
Adam Shostack «Threat Modeling: Designing for Security». Делай TM для своего pet-проекта: DFD-диаграмма, угрозы по STRIDE, mitigations. Опубликуй в репо — это сильный портфолио-актив.
portfolio stride tm
P2.4
Secure coding patterns
Parameterized queries (нет SQLi), output encoding (нет XSS), proper auth/sessions, CSRF tokens, rate limiting, input validation на сервере. По языку pet-проекта — OWASP secure coding cheat sheet.
secure-coding
P2.5
Cryptography для инженеров
Symmetric vs asymmetric, hashing (bcrypt/argon2 для паролей, SHA для integrity), TLS handshake, JWT (и его проблемы), key management basics. «Serious Cryptography» Aumasson — необязательно целиком, но как референс.
crypto
P2.6
Authentication / Authorization deep
OAuth 2.0, OIDC, SAML — что когда. Session-based vs token-based. RBAC vs ABAC. Keycloak локально для практики (используется и в РФ). MFA, passkeys.
oauth keycloak
P2.7
Чинишь уязвимости в pet-проекте
Возвращаешься к v0 и устраняешь все уязвимости, которые специально оставил. По каждому fix — write-up: что было, как нашли, как починили, как теперь не повторить.
portfolio
  • Объясняешь и демонстрируешь top-15 уязвимостей OWASP без подсказок
  • Threat model (STRIDE + DFD) для pet-проекта опубликован
  • Все Apprentice-лабы PortSwigger закрыты + Practitioner начат
  • Pet-проект v0 уязвимости устранены, есть write-up по каждой
  • Понимаешь OAuth/OIDC на уровне «могу нарисовать flow на доске»
  • Знаешь, когда использовать bcrypt/argon2 vs SHA, и почему
// deliverables
Pet-проект v2.0: secure-by-default. Threat model опубликован. 10+ AppSec write-up-ов.
P3

DevSecOps Tooling · SAST, SCA, DAST, secrets, IaC scanning

~ 8 недель // build the pipeline
+
Здесь ты встраиваешь security в CI/CD. Каждая категория инструментов — не «запустил и забыл», а: что ищет, какие false positives, как настраивать пороги, что блокирует мерж, что только предупреждает. Тулинг должен жить в pre-commit + CI.
P3.1
SAST: Semgrep deep
Semgrep как индустриальный стандарт. Готовые rulesets + пишешь 5+ собственных правил под свой стек. CodeQL опционально. Bandit для Python специфики. Подключи в CI и pre-commit.
portfolio semgrep sast
P3.2
SCA: dependency scanning
Trivy (универсальный), OWASP Dependency-Check, Grype, OSV-Scanner. CodeScoring как российский игрок. Понимание различия CVE vs GHSA vs БДУ ФСТЭК. Авто-обновления через Dependabot/Renovate.
trivy sca ru
P3.3
DAST: ZAP + nuclei
OWASP ZAP в baseline-режиме в CI (без false-positive paralysis). Nuclei для templating-based проверок. Концептуально: что DAST ловит, а SAST — нет, и наоборот.
zap nuclei dast
P3.4
Secrets scanning
Gitleaks и TruffleHog — оба в pre-commit + CI + history scan. Custom rules под свой стек. Что делать, если секрет закоммитили: rotation процесс, не просто «удалить из истории».
portfolio gitleaks
P3.5
IaC scanning
Checkov (универсальный, Python-based, легко расширяется), tfsec/Trivy для Terraform, kube-linter для K8s манифестов. Подключи к pipeline своего Terraform-проекта.
checkov iac
P3.6
Container image scanning
Trivy (де-факто стандарт), Grype, Docker Scout. Сканирование в CI до push, а не после. Понимание того, как чинить vulnerabilities в base images (distroless, minimal, regular updates).
trivy container
P3.7
Pipeline as defence-in-depth
Стратегия: pre-commit hooks → CI scans → registry gate → admission controller. Один уровень обходится — следующий ловит. Не один scanner-выключатель, а каскад. Документируй процесс в репо.
strategy
P3.8
DefectDojo / Vulnerability management
Куда складывать findings, как дедуплицировать, как приоритезировать (CVSS — это не приоритет, это severity). DefectDojo как open source стандарт vulnerability management.
defectdojo
  • Pet-проект имеет полный security pipeline: SAST + SCA + DAST + secrets + IaC + container
  • 5+ собственных Semgrep-правил опубликовано в репо
  • Pre-commit hooks с gitleaks работают и блокируют коммиты
  • CI блокирует merge при HIGH/CRITICAL findings (с осознанными исключениями)
  • DefectDojo поднят, findings из всех сканеров стекаются
  • Объясняешь разницу между SAST/SCA/DAST/IAST на доске
// deliverables
Pet-проект v2.5: полный security pipeline. semgrep-rules-custom заполнен. README — со скриншотами CI runs.
P4

Kubernetes Security · Cloud Security · Supply Chain

~ 12 недель // differentiation от обычного DevOps
+
Здесь начинается то, что отличает DevSecOps от security-наклеек на DevOps. K8s security — самая горячая тема найма 2024–2027. Supply chain — после SolarWinds, log4j, xz все компании пилят SBOM, signing, attestation. Cloud security — даже для on-prem, потому что ландшафт всё равно гибридный.
// k8s security
P4.1
K8s threat model
Что атакует K8s-кластер: компрометация контейнера → побег → privesc → cluster takeover. Микро-сервисная attack surface: east-west traffic, supply chain в container images. NSA/CISA Kubernetes Hardening Guide.
k8s-tm
P4.2
RBAC + Pod Security Admission
RBAC деталь: roles vs cluster-roles, least privilege в реальности. PSA замена deprecated PSP: baseline / restricted / privileged. NetworkPolicy для микросегментации. Всё применяешь к pet-проекту.
prerequisite rbac psa
P4.3
Admission controllers (OPA/Kyverno)
Kyverno (проще, YAML-based) или OPA/Gatekeeper (Rego, мощнее). Pre-deploy policies: запрет latest tag, требование non-root, requirement signed images. Минимум 5 политик в репо.
portfolio kyverno opa
P4.4
Runtime security: Falco
Falco для runtime detection: подозрительный exec в контейнере, shell в pod, чтение sensitive файлов. Подключи к pet-проекту, настрой кастомные правила, интегрируй с alerting.
falco runtime
P4.5
CKS (опционально)
Certified Kubernetes Security Specialist — престижный сертификат, серьёзно ценится. Если есть бюджет — отличная цель после P4. Требует CKA как prerequisite. Без CKS легко обойтись на junior, но с CKS — серьёзный буст к мидл-вилке.
cert cks
// supply chain security
P4.6
SBOM: Syft + CycloneDX/SPDX
Software Bill of Materials — реестр компонентов в твоей системе. Syft для генерации, форматы CycloneDX и SPDX. Подключи к CI, публикуй SBOM как артефакт каждого билда. Это будущее требование комплаенса везде.
portfolio syft sbom
P4.7
Sigstore: cosign + Rekor
Подписание container images через cosign (keyless с OIDC или со своим ключом). Rekor — публичный transparency log. Привязка admission controller, чтобы принимать только подписанные образы.
portfolio cosign
P4.8
SLSA framework
Supply-chain Levels for Software Artifacts. Уровни L1–L4. Цель: достичь SLSA Build L2+ в своём pet-проекте — provenance attestation, isolated builders, immutable references. README объясняет, какой уровень и почему.
slsa
P4.9
Historical analysis
Разбери в блоге: SolarWinds, log4j (CVE-2021-44228), xz utils backdoor (CVE-2024-3094). По каждой — что произошло, как защититься, как твой pet-проект справился бы. 3+ кейса = сильный портфолио-актив.
portfolio writeup
// cloud security
P4.10
AWS Security depth
IAM advanced: assume-role chains, condition keys, permission boundaries. KMS: envelope encryption, key policies. GuardDuty + Security Hub + CloudTrail. Аудит через Prowler или ScoutSuite.
intl aws prowler
P4.11
Yandex Cloud (для РФ)
IAM, Lockbox, Audit Trails, Security Groups. Cloud Logging + alerts как аналог GuardDuty. Selectel, MTS Cloud, VK Cloud, Cloud.ru — близкие по моделям, знай различия концептуально.
ru-must ycloud
P4.12
CSPM concept
Cloud Security Posture Management: что это, какие проблемы решает. Open source инструменты (Prowler, ScoutSuite) vs коммерческие (Wiz, Orca) — концептуально, для словаря.
cspm
P4.13
Compliance overview (high-level)
ISO 27001, SOC 2, PCI DSS, NIST SSDF — что и зачем, ключевые отличия. Знать словарь, не быть аудитором. Для глубокого РФ-комплаенса (152-ФЗ, ФСТЭК, ГОСТ) — фаза 5.
intl compliance
  • Pet-проект в production-like K8s с PSA, NetworkPolicy, RBAC, Falco
  • Образы подписаны cosign, SBOM публикуется, SLSA Build L2+ достигнут
  • 5+ Kyverno/OPA политик в репо
  • Аудит AWS или Yandex Cloud через Prowler/ScoutSuite пройден, findings исправлены
  • 3+ supply chain кейса разобраны в блоге
  • (опц., но мощно) CKA + CKS сданы
// deliverables
Pet-проект v3.0: K8s production-grade + supply chain. k8s-security-policies и supply-chain-demo репо заполнены. CKS — серьёзный буст к мидл-вилке.
P5

RU specifics · Code review · Bug Bounty

~ 8 недель // differentiation на российском рынке
+
Здесь ты получаешь то, что отличает middle-кандидата от джуна на РФ-рынке: навык ручного code review, понимание реальных CVE, знание РФ-комплаенса и РФ-инструментов, подтверждённые bug bounty репорты. Без этого в банки, госы и ИБ-вендоры не возьмут.
// russian compliance — критично для РФ
RU.1
ГОСТ Р 56939
«Разработка безопасного программного обеспечения. Общие требования» (ГОСТ Р 56939-2016 → переиздан как ГОСТ Р 56939-2024). База РФ secure SDLC, прочти полностью — он короткий.
ru-must gost
RU.2
Приказы ФСТЭК + БДУ
№239 — требования к КИИ (критическая информационная инфраструктура). №31 — АСУ ТП. №17 — ГИС. БДУ ФСТЭК — российский аналог CVE/NVD-базы.
ru-must fstec kii
RU.3
152-ФЗ + Реестр ПО
152-ФЗ «О персональных данных» — must-know. УЗ-1/2/3/4, ИСПДн. Реестр отечественного ПО Минцифры — как туда попадают, почему важно для гос-сектора и госкорпораций.
ru-must 152fz
RU.4
РФ-инструменты обзорно
PT Application Inspector (SAST/DAST/IAST), Solar appScreener (мультиязычный SAST), CodeScoring (SCA), MaxPatrol VM/SIEM, R-Vision SOAR. Знай отличия от западных аналогов — спрашивают в банках и у ИБ-вендоров.
ru interview
// code review + CVE + bug bounty
CR.1
Manual code review практика
Уязвимые проекты для тренировки: OWASP/NodeGoat, OWASP/WebGoat, dvna, tiredful-api, juice-shop. Делай ручное ревью до Semgrep, потом сравнивай. Это отделяет middle от джуна.
interview review
CR.2
Real CVE weekly
Каждую неделю: одна свежая CVE по твоему стеку (Python/Flask/Django/FastAPI/Node/Go). Advisory + patch на GitHub + (если есть) PoC. 1–2 раза в месяц — свой PoC по описанию для учебного стенда.
cve weekly
BB.1
Bug Bounty (must!)
Standoff Bug Bounty, BI.ZONE Bug Bounty (РФ). HackerOne, Bugcrowd, Intigriti (intl). Стартовая стратегия: публичные VDP без выплат для практики. Цель: 1+ принятый репорт за 3 месяца — серьёзное преимущество над 90% других джунов.
portfolio standoff h1
BB.2
CTF: продолжающаяся практика
HackTheBox, TryHackMe — поддерживай уровень. RuCTF, Standoff Cyberbattle — российские, ценятся в РФ-резюме. Не для красивых бейджей, а для навыка «мыслить как атакующий».
ctf
  • Знаешь словарь РФ-комплаенса: ФСТЭК, ГОСТ Р 56939, 152-ФЗ, КИИ, БДУ
  • Manual code review: находишь уязвимости в уязвимых проектах быстрее сканера
  • 1+ принятый bug bounty report (Standoff/BI.ZONE/H1)
  • 10+ разборов CVE в блоге
  • Знаешь, что такое PT AI, Solar appScreener, MaxPatrol — на уровне разговора
  • (опц.) Профиль на standoff365.com активен
// deliverables
Накопленное портфолио CVE-разборов, минимум один принятый BB-report. Знание РФ-комплаенса на уровне junior+.
P6

Soft skills · Резюме · Job Hunt

parallel // идёт со всеми фазами одновременно
+
Эта фаза — параллельна всем остальным. С первого дня — публичный блог и LinkedIn/Хабр-Карьера. К концу P5 — отполированное резюме и подготовленные STAR-истории. Job hunt начинается ДО того, как ты «полностью готов» — собеседования покажут, где пробелы.
JH.1
Публичный блог-журнал
Habr.com (РФ), Medium / dev.to (intl), либо свой простой сайт на GitHub Pages / Hugo. Минимум 1 write-up в 2 недели. К моменту собеседования — 20+ постов. Это твоё доказательство, что ты понимаешь, а не просто прошёл курс.
portfolio blog
JH.2
GitHub polish
4–6 закреплённых репозиториев. README в каждом — описание, скриншоты, ссылки на CI runs, бейджи. Контрибуция в open source (даже мелкие фиксы = плюс). Профиль README с твоим стеком и проектами.
portfolio github
JH.3
STAR-истории + Mock interviews
5–7 STAR-историй (Situation, Task, Action, Result) из своих проектов и опыта. 5–7 mock-собеседований (pramp.com, interviewing.io, знакомые из IT) до реальных интервью. Технические и поведенческие.
interview
JH.4
RU target list
ИБ-вендоры: Positive Technologies, BI.ZONE, Касперский, Solar (Ростелеком), Innostage, R-Vision, Awillix. Банки: Сбер, Тинькофф (T-Bank), Альфа, ВТБ, Райффайзен, МКБ. Tech: Яндекс, VK, Авито, Ozon, Wildberries, X5, МТС, Билайн. Бутики: Cyberus, Bastion, Angara Security, Servicepipe. Стажировки = самый быстрый путь.
ru-targets
JH.5
Intl remote (после первой РФ-работы)
weworkremotely.com, remoteok.com, LinkedIn (DevSecOps + remote), Wellfound. Нужно: B2+ EN, портфолио на GitHub, активность в open source. Реалистично через 1–2 года после первой РФ-работы. До этого — фокус на РФ.
intl remote
JH.6
Резюме на двух языках
RU (hh.ru формат) + EN (LinkedIn + 1-страничный CV). Тех-навыки группами, проекты с метриками («сократил время сборки на 40%»). Без воды. Цифры и факты, не «увлечён security».
resume
JH.7
Networking
Конференции: PHDays, OFFZONE, ZeroNights, RuCTF Finals — в РФ. Митапы в твоём городе. Telegram-каналы: профильные DevSecOps/AppSec чаты. LinkedIn — для intl. Не «использовать людей», а быть в контексте.
network
JH.8
Книги — обязательный минимум
«Agile Application Security» (Bell et al.) — как security устроена в живых процессах. «Alice and Bob Learn Application Security» (Janca) — отличный обзорный AppSec. «Securing DevOps» (Vehent). Читай параллельно фазам.
books
  • Прочитаны Agile Application Security + Alice and Bob
  • Резюме на двух языках готово
  • GitHub причёсан, 4–6 топ-репо закреплены, README везде
  • 5–7 STAR-историй проговорены
  • 5+ mock interviews пройдено
  • 20+ публичных write-up-ов
  • Подано минимум 30 откликов, есть приглашения на интервью
// deliverables
Оффер. Если нет — итерация: какой пробел вылезает на интервью → в блог как тему → закрыть.

tooling matrix

Инструменты, которые встретишь на работе и собеседованиях. Категории = категории проверок. RU = российский продукт (важно для рынка РФ). Знать не все, а основные в каждой категории + понимать словарь остальных.

SAST · static analysis

Ищут уязвимости в исходном коде без запуска.
  • Semgrep — open source стандарт, лёгкие правила
  • CodeQL — GitHub, мощный, но Rego-like синтаксис
  • SonarQube — широкий охват, в т.ч. SAST
  • Bandit — Python специфика
  • gosec — Go специфика
  • PT Application InspectorRU — лидер РФ
  • Solar appScreenerRU — мультиязычный
  • SvaceRU — ИСП РАН

SCA · dependencies

Ищут уязвимости в зависимостях и lock-файлах.
  • Trivy — универсальный, де-факто стандарт
  • OWASP Dependency-Check — open source ветеран
  • Grype — от Anchore, шустрый
  • OSV-Scanner — Google, опирается на OSV
  • Snyk — коммерческий лидер intl
  • Dependabot / Renovate — авто-PR с обновлениями
  • CodeScoringRU — российский SCA

DAST · dynamic analysis

Сканируют запущенное приложение «снаружи».
  • OWASP ZAP — open source стандарт
  • Burp Suite Pro — manual + automation
  • Nuclei — template-based, шустрый
  • Acunetix / Netsparker — коммерческие
  • PT BlackBoxRU — РФ DAST

secrets scanning

Ловят токены, ключи, пароли в коде и истории.
  • Gitleaks — pre-commit + CI, история
  • TruffleHog — глубокая проверка истории
  • detect-secrets — Yelp
  • GitHub Secret Scanning — встроенный
  • HashiCorp Vault — управление, не сканер
  • Infisical / Doppler / SOPS — open source альтернативы

IaC scanning

Terraform, Helm, K8s манифесты, Dockerfile.
  • Checkov — Python, легко расширять
  • Trivy — IaC модуль
  • tfsec — Terraform специфика
  • kube-linter — K8s YAML
  • Polaris — K8s best practices
  • Terrascan — Rego-based

container security

Сканирование образов, runtime защита.
  • Trivy — образы, ФС, registry
  • Grype — альтернатива Trivy
  • Docker Scout — встроенный
  • Clair — open source, в Harbor
  • Harbor — registry со сканированием
  • Falco — runtime detection
  • Tetragon — eBPF-based runtime

kubernetes security

Policy, RBAC, network, admission.
  • Kyverno — policy engine, YAML-based
  • OPA / Gatekeeper — Rego, мощнее
  • kube-bench — CIS Benchmark
  • kube-hunter — penetration testing
  • Cilium / Calico — NetworkPolicy advanced
  • Istio / Linkerd — service mesh с mTLS

cloud security

CSPM, аудит, IAM.
  • Prowler — AWS/Azure/GCP audit
  • ScoutSuite — мульти-cloud
  • CloudSploit / Cloudquery — асset inventory
  • Steampipe — SQL для cloud
  • Wiz / Orca / Lacework — коммерческие CSPM
  • YC Security CenterRU

supply chain

SBOM, signing, attestation, provenance.
  • Syft — генерация SBOM
  • cosign (Sigstore) — подпись образов
  • Rekor — transparency log
  • SLSA framework — уровни L1–L4
  • in-toto attestations — build provenance
  • OpenSSF Scorecard — оценка OSS-проектов
  • Dependency-Track — управление SBOM

SIEM · detection · SOC

Сбор событий, корреляция, alerting.
  • Wazuh — open source SIEM/XDR
  • ELK + SIEM rules — open source стек
  • OpenSearch + Security Analytics
  • Splunk / QRadar / Sentinel — коммерческие intl
  • MaxPatrol SIEMRU — PT
  • KUMARU — Касперский
  • R-Vision SOARRU
↓ beyond junior ↓

elevation track // junior → middle → senior

Чек-лист ниже закрывает Junior offer-ready. Чтобы стать «востребованным DevSecOps-специалистом», нужно идти дальше — но дорога меняет характер. Middle и Senior — это не следующий чек-лист, а другая категория навыков: архитектура, влияние, специализация и production-опыт. Production-опыт никаким pet-проектом не заменишь — поэтому первая работа важнее идеального портфолио.

Реалистичный таймлайн: Middle через 2.5–3.5 года от старта обучения (1.5–2 года реального опыта на Junior + рост), Senior через 5–7 лет с обязательной специализацией.

// reality_check · РФ-рынок · Москва/удалёнка

Уровень Срок от старта Salary RU Что значит на практике
Junior employed 10–14 мес 120–180k ₽ Первая работа в индустрии. Закрываешь тикеты, учишься у старших, smoke-тесты пайплайнов.
Junior+ / Middle-prep 1.5–2 года 180–250k ₽ Уверенно владеешь стеком. Берёшь самостоятельные задачи. Менторишь стажёров.
Middle DevSecOps 2.5–3.5 года 250–400k ₽ Принимаешь архитектурные решения. Ведёшь проекты. Глубокая экспертиза в 1–2 областях.
Senior 5–7 лет 400–700k ₽ Стратегия, найм, влияние без власти. Публичное имя в индустрии.
Staff / Principal 8+ лет 700k–1.5M+ ₽ Тех-лид направления. Решения уровня компании или индустрии.
elevation timeline
Год 1 на работе Год 2 Год 3 Годы 4–5 Годы 6+
middle path / m1–m3
M1

Первый год на работе middle-prep

~ 12 мес // production experience — некомпенсируемо
+
Главная фаза — потому что её нельзя пройти самообучением. Реальные инциденты, продакшен-нагрузка, постмортемы, политика команды, споры с разработчиками о приоритетах. Никакой pet-проект это не заменит. Стратегия: максимально экстрактить опыт из текущей работы + точечно добивать пробелы.
M1.1
Урок из каждого тикета
Не «закрыл и забыл», а почему это произошло, как предотвратить класс таких проблем. После каждого нетривиального тикета — заметка в личной wiki: контекст, решение, что узнал.
discipline
M1.2
Incident response shadow
Каждый incident — золото. Проситься в shadowing к senior-ам, потом ведущим координатором мелких инцидентов. Постмортемы — писать самому.
priority ir
M1.3
Внутренний ментор
Один senior, у которого можно регулярно консультироваться. Без формальной программы — еженедельные 30-минутные созвоны, разбор твоих задач.
mentor
M1.4
Сертификации (если оплачивают)
Компании часто оплачивают сертификации. CKS, AWS Security Specialty, OSCP, CISSP — выбирай по направлению. Не для бейджа, а для структурированной проработки темы.
cert
M1.5
Один язык до уровня инструмент-писательства
Junior пишет скрипты. Middle пишет инструменты. Выбери один из Go или Python и доведи до уровня «могу написать CLI-инструмент с тестами, которым пользуется команда».
go python
M1.6
Первый OSS-вклад
PR в Trivy, Falco, Semgrep, Checkov, Kyverno или подобное. Даже мелкий фикс / документация. Это сильный сигнал на собеседовании в middle.
portfolio oss
M1.7
Security champion program
Если в компании этого нет — предложи организовать. Если есть — войди как лидер. Развитие soft skills через формализованную структуру.
leadership
M1.8
Первый внутренний доклад
Tech talk внутри компании на 30 минут. Тема — что освоил за квартал. Тренировка публичных выступлений в безопасной среде.
speaking
  • Участвовал в 3+ реальных security-инцидентах
  • Написал 2+ постмортема, которые читала команда
  • Один OSS PR замёрджен
  • Закрыл 1 язык до уровня инструмент-писательства
  • Провёл минимум один внутренний tech talk
  • Понимаешь, ЧЕМ занимается security в компании на уровне процессов
// deliverables
Промоушн до Junior+ или переход в более серьёзную компанию с повышением вилки. Личная wiki с 50+ заметками. Один OSS-проект в активе.
M2

Глубина и архитектура middle

~ 12 мес // выбор специализации
+
Тут ты выбираешь специализацию (см. матрицу ниже) и углубляешься. Junior — широкий, но поверхностный. Middle — широкий + глубокий в чём-то одном. Параллельно — наращиваешь архитектурное мышление.
M2.1
Выбор специализации
AppSec deep / Cloud Security / K8s Security / Supply Chain / Detection Engineering / Security Research. Матрица — ниже на странице.
decision
M2.2
Threat Modeling сложных систем
Не одиночное приложение, а 10+ микросервисов с межсервисным взаимодействием, разными trust zones, асинхронными очередями. Шостак целиком, «Threats» Brook Schoenfield.
tm-deep arch
M2.3
Architecture Decision Records
Читать ADR разработческих команд и писать security-feedback. Самому писать ADR для security-решений: что выбрали, какие альтернативы рассматривали, какие trade-offs.
adr
M2.4
Distributed systems basics
CAP, consistency models, distributed tracing, очереди как security boundary, event-driven architectures. Книга «Designing Data-Intensive Applications» Kleppmann — выборочно.
distributed
M2.5
SDLC integration сильнее
Security в backlog grooming, в дизайн-ревью, в pre-prod-чек-листы. Меньше tool-blocking, больше cultural integration.
sdlc
M2.6
Metric ownership
Берёшь во владение метрику: время time-to-remediate, % critical уязвимостей в prod, MTTD/MTTR. Защищаешь её на встречах. Цель — не «зелёная цифра», а реальное улучшение.
metrics
M2.7
Внешний доклад
Первый доклад вне компании. Локальный митап → региональная конференция → PHDays / OFFZONE / ZeroNights. Уровень роста.
speaking
M2.8
Глубокий dive по специализации
Зависит от выбора. Каждое направление имеет свой sub-стек: AppSec → fuzzing + taint analysis; Cloud → multi-cloud arch; K8s → eBPF + service mesh; Detection → SIEM-rules в масштабе; Research → reverse + exploit dev.
depth
  • Специализация выбрана и видна по проектам/публикациям
  • Threat model на сложную систему (10+ сервисов) сделан и обсуждён
  • Один ADR на security-тему опубликован
  • Один внешний доклад (хотя бы локальный митап)
  • Владеешь хотя бы одной production-метрикой
  • Можешь нарисовать архитектуру security-функции на доске и защитить
// deliverables
Middle уровень. Признан в команде как expert-in-the-room по своей специализации. Перешёл от tickets-doer к initiative-driver.
M3

Middle → Senior формирование middle+

~ 12 мес // influence без формальной власти
+
Здесь ты выходишь за пределы своей команды. Cross-team влияние, менторство, hiring, публичная репутация, бизнес-язык. Это переход от «техника» к «инженеру-лидеру».
M3.1
Cross-team инициативы
Проекты, затрагивающие 3+ команды: миграция на новую секрет-менеджмент систему, внедрение SBOM-процесса по всей компании. Без формальной власти — через убеждение и архитектурные предложения.
influence
M3.2
Менторство middle/junior
Не один junior на shadowing, а 2–3 человека под твоим руководством. Code review их security-кода. Регулярные 1:1.
mentor
M3.3
Hiring loop участник
Включаешься в найм: пишешь технические интервью, проводишь их, обсуждаешь кандидатов. Даёт сильную optic'у на рынок.
hiring
M3.4
Серьёзное публичное присутствие
Регулярный технический блог (раз в 2 недели). Доклады на крупных конференциях (PHDays, OFFZONE main, ZeroNights). 1000+ подписчиков/читателей. Это не «hustle» — это репутация, которая открывает двери.
brand
M3.5
Первый CVE / research
Не bug bounty, а полноценный research: нашёл уязвимость в open source проекте или коммерческом продукте, оформил advisory, получил CVE на свою фамилию.
research
M3.6
Bug Bounty всерьёз (опц.)
Если есть склонность к offensive — bug bounty как side income. Top-100 на Standoff / HackerOne — серьёзный сигнал.
bb
M3.7
Бизнес-язык
Учись говорить с менеджментом. ROI security-инвестиций. Risk quantification (FAIR framework). Как защитить бюджет на security-инициативу. «How to Measure Anything in Cybersecurity Risk» Hubbard, Seiersen.
business
M3.8
Vendor management
Пилоты enterprise-инструментов (Wiz, Snyk, PT AI), переговоры с vendor-ами, сравнение коммерческих предложений. На senior это часть работы.
vendor
  • Провёл cross-team инициативу, затронувшую 3+ команды
  • Менторишь 2+ человек, оба показывают рост
  • Участвовал в найме 5+ кандидатов
  • Получил CVE на свою фамилию (research, не BB)
  • Доклад на PHDays / OFFZONE / ZeroNights main track
  • Регулярный блог с заметным охватом
  • Можешь обосновать security-решение перед CTO/CFO в их терминах
// deliverables
Senior-готовность. Промоушн внутри или сильное предложение от другой компании. Публичная репутация в нише.
senior path / s1–s2
S1

Senior формирование senior

годы 4–5 // стратегия и узкая экспертиза
+
Senior — это другая профессия, не «middle с большим стажем». Меняется главное: ты больше не делаешь — ты определяешь, что и как будет сделано. Принимаешь риски за компанию.
S1.1
Strategic thinking
Security-стратегия на 1–3 года для компании или направления. Не «закрыть тикеты», а «как должна выглядеть security-функция через 2 года, чтобы поддерживать рост бизнеса».
strategy
S1.2
Risk acceptance authority
Принимаешь решения «этот риск компания принимает, этот закрываем». Подписываешься под этими решениями. Понимаешь legal implications своих подписей.
authority
S1.3
Build vs Buy decisions
Стоит ли пилить in-house инструмент или купить enterprise. Оценка TCO. Понимание build-up debt от in-house решений на 3-5 лет вперёд.
decision
S1.4
Управление командой (если выбран people path)
Если выбрал managerial track: формальное управление 5–10 людьми, 1:1, performance reviews, hiring decisions, увольнения. Если technical track — пропускаем, идём в S1.5.
mgmt
S1.5
Уникальная экспертиза в специализации
Если technical track (Staff/Principal): ты — top-N в стране в своей специализации. Тебя знают по имени в нише. Тебя зовут консультировать другие компании.
expertise
S1.6
Программа изменений
Запускаешь и доводишь до конца программу масштаба компании: secure-by-design culture, zero trust architecture, supply chain hardening. С метриками и business case.
program
S1.7
Внешняя экспертная роль
Член технического комитета (OWASP chapter, рабочая группа OpenSSF). Регулярные keynote-доклады. Возможно — автор книги или серии материалов.
community
  • Запустил программу изменений на уровне компании
  • Признан в индустрии как expert в своей нише
  • Если people track — управляешь командой 5+, есть истории роста
  • Если technical track — публичная глубокая экспертиза
  • Совет директоров / CTO готов слушать твои стратегические рекомендации
// deliverables
Senior / Staff уровень. Опции для CISO-трека (если хочешь) или Principal Engineer (если technical).
S2

Staff / Principal / CISO staff+

годы 6+ // top of the field
+
Здесь чёткой роадмапы уже нет — пути расходятся. Staff/Principal — глубокая техническая экспертиза, влияющая на индустрию. CISO — топ-менеджмент с security-mandate. Founding engineer или фаундер security-стартапа — отдельная игра.
S2.1
Industry shaping
Влияние на индустриальные стандарты: участие в OWASP standards, contributions в NIST drafts, RFCs. Несколько твоих идей применены в чужих компаниях.
industry
S2.2
CISO trajectory
Если выбрана: бюджеты, board reporting, ответственность перед регулятором, M&A security due diligence, kontroversy management в случае инцидентов с публичным резонансом.
ciso
S2.3
Principal engineer trajectory
Архитектурные решения на уровне всей платформы. Mentor mentor-ов. Часто — автор внутренних или публичных фреймворков, которые становятся стандартом.
principal
S2.4
Founder / advisory
Founding engineer в security-стартапе или собственный стартап. Advisory роли у других компаний. Инвестиции/менторинг security-стартапов.
founder
// deliverables
Tier выбран и закреплён. Дальше — личные цели, не индустриальный шаблон.

specialization matrix // выбор пути на middle+

На middle (фаза M2) ты выбираешь специализацию. Junior — широкий и поверхностный; middle — широкий + глубокий в одной области. Шесть основных путей. Каждый — это своя книжная полка, свой словарь и свой пул компаний.

// path 01

Application Security deep

Источник-сток анализ, taint analysis, написание собственных SAST-движков, fuzzing, secure SDLC architecture. Глубокая работа с кодом и его уязвимостями.

roles AppSec Engineer → AppSec Architect → Principal AppSec
// path 02

Cloud Security Architect

Multi-cloud архитектуры (Yandex + AWS + GCP), zero trust networks, identity perimeter, CSPM/CIEM глубоко, cloud-native security patterns.

roles Cloud Sec Engineer → Cloud Sec Architect → Principal
// path 03

Kubernetes / Platform Security

CKS + service mesh (Istio/Linkerd) production-grade, admission controllers собственной разработки, eBPF-based security, K8s operators.

roles Platform Sec Engineer → Platform Architect
// path 04

Supply Chain Security

Полная архитектура SLSA L3/L4 в компании, integrity всей build chain, software bill of materials в масштабе, dependency governance. Самое горячее направление 2024–2027.

roles Supply Chain Sec → SC Architect
// path 05

Detection Engineering / Threat Hunting

SIEM с нуля, написание detection rules в масштабе, threat hunting, purple teaming, SOC capabilities. Объединение DevSecOps и SOC. Самый низкий порог входа для людей с blue team бэкграундом.

roles Detection Engineer → DE Lead → Head of SOC
// path 06

Security Research / Offensive

Vulnerability research, exploit development, red teaming, reverse engineering. Самый технически сложный путь. Часто пересечение с bug bounty top-100.

roles Security Researcher → Principal Researcher

frequently asked questions

?Можно ли войти в DevSecOps без опыта в разработке или DevOps?
Технически да, но это будет дольше. DevSecOps — это пересечение трёх миров: Development, Operations, Security. Если ты пришёл из одного — два других нужно добрать. Самый быстрый путь — войти джуниором в DevOps или Backend, поработать год, потом перейти в DevSecOps. Это не обязательно, но реалистично. Прямо «с улицы» в DevSecOps берут редко, и в основном — на DevSecOps стажировки в крупных компаниях.
?Сколько часов в неделю реально нужно тратить?
Полная программа до Junior — это 20–30 часов в неделю в течение 8–14 месяцев. Это два с половиной часа в день в среднем. Меньше — растягивается до 18–24 месяцев и начинается потеря фокуса. Больше — выгорание. Лучше 25 часов стабильно, чем 50 часов пиками с просадками.
?Нужны ли сертификаты (CKS, OSCP, CISSP)?
Для junior — нет. Сертификаты ценятся сильнее в РФ-госах, банках, больших корпорациях. Но без портфолио сертификат — пустая бумага. Сначала собирай проекты и блог, потом — сертификаты, если работа их требует или оплачивает. Исключение: CKS — реально полезен, потому что его подготовка = глубокое изучение K8s security.
?Какой язык программирования учить?
Python — must-have, обязательно. На нём пишутся почти все security-инструменты, автоматизация, скрипты, custom правила для Semgrep, интеграции. Go — сильный второй язык на middle, потому что большая часть DevSecOps-инструментов (Trivy, Falco, Cosign, Kubernetes) написана на Go. Bash — без него никак, но как отдельная цель не учится — встраивается в практику. JavaScript понимать на уровне чтения и базовых уязвимостей.
?Стоит ли в 2026 году учить AWS, или сразу Yandex Cloud?
Оба, но с акцентами. Yandex Cloud — где будут реальные проекты на российской работе. AWS — стандарт мира, понятийный аппарат построен на нём, доки, курсы, статьи в большинстве на AWS. Учи концепции на AWS (free tier бесплатен), пиши Terraform для Yandex Cloud. Selectel, MTS Cloud, VK Cloud, Cloud.ru — близки по моделям, легко переключишься.
?Можно ли использовать AI (ChatGPT, Claude, Copilot) при обучении?
Да, но осторожно. Полезные применения: объяснение незнакомого кода, ревью своего кода, поиск ошибок, генерация unit-тестов, объяснение CVE. Опасные: писать за тебя pet-проект, отвечать на вопросы интервью без понимания. Правило: 70%+ кода ты пишешь сам, каждую сгенерированную AI строку — должен уметь объяснить и обосновать. На собеседованиях AI не помогает — там придётся думать самому.
?Можно ли перейти в DevSecOps из SOC / blue team?
Да, и это сильная позиция. У тебя уже есть half-stack — security mindset, понимание атак, опыт с SIEM, IDS, vulnerability scanning. Нужно добрать DevOps-составляющую (P1 фаза) и AppSec (P2). Специализация Detection Engineering для тебя — самый низкий порог входа. Wazuh/MaxPatrol-опыт интегрируется в pet-проект как SIEM — это уникальное портфолио-преимущество.
?Можно ли перейти из разработки в DevSecOps?
Да, и это очень сильная позиция. У тебя уже есть язык, понимание SDLC, опыт с CI/CD. Нужно добрать infrastructure (P1) и security (P2-P5). Специализации Application Security или Supply Chain — для тебя естественны. Многие DevSecOps инженеры сейчас — это бывшие разработчики, поэтому твой опыт чтения чужого кода = огромный плюс для code review.
?Стоит ли идти на стажировки?
Если возможно — да, это самый быстрый путь в индустрию. Стажировки в РФ есть у Positive Technologies, Сбера, Тинькофф (T-Bank), Яндекса, Касперского, BI.ZONE. Часто платные, часто конвертируются в оффер. Конкуренция высокая, но если у тебя есть собранный pet-проект и блог — пройдёшь скрининг легче, чем 90% других.
?Что делать, если уже работаю DevOps, а хочу в DevSecOps?
Лучший сценарий. P0–P1 — это твоя текущая рабочая компетенция; пройди их как чек-лист, найди пробелы (вероятно, observability и Vault). Основной фокус — P2 (AppSec), P3 (security tooling), P4 (K8s security + supply chain), P5 (РФ-специфика). Параллельно — внутри своей текущей компании предложи внедрить SAST/SCA/secrets scanning в CI: это и портфолио-проект, и шаг к роли DevSecOps внутри.
?Какие книги читать обязательно?
Минимум: «Agile Application Security» (Bell et al.), «Alice and Bob Learn Application Security» (Janca), «Threat Modeling: Designing for Security» (Shostack), «The Tangled Web» (Zalewski) для веба. На middle: «Designing Data-Intensive Applications» (Kleppmann) — выборочно, «How to Measure Anything in Cybersecurity Risk» (Hubbard) для бизнес-языка. Без перевода — чтение на английском обязательно.
?Можно ли работать удалённо с самого начала?
Junior удалёнка — редкость. Большинство РФ-компаний хотят джуна в офис или гибрид, потому что нужен ментор рядом, нужны live-инциденты. С Middle — удалёнка реалистична. Intl remote для DevSecOps реален через 1–2 года опыта + B2 английский + сильное портфолио. До этого — фокус на РФ-рынок.

junior gate · 25 / 25

Финальная проверка перед собеседованием на Junior DevSecOps. Если можешь поставить галочку напротив 21 из 25 пунктов — ты готов. Кликни по пункту, чтобы отметить. Прогресс сохраняется в браузере (localStorage).

01[ ]Pet-проект на GitHub с полным DevSecOps-пайплайном (SAST + SCA + DAST + IaC + secrets + container scan)
02[ ]15+ write-up-ов в публичном блоге, демонстрирующих понимание тем
03[ ]Объясняешь и демонстрируешь top-15 уязвимостей OWASP без подсказок
04[ ]Threat model для своего проекта (STRIDE + DFD) опубликован
05[ ]5+ собственных Semgrep-правил опубликовано в репо
06[ ]Pet-проект работает в Kubernetes с PSA, NetworkPolicy, RBAC
07[ ]Образы подписаны cosign, SBOM публикуется, SLSA Build L2+
08[ ]Pre-commit hooks с gitleaks/trufflehog работают
09[ ]CI/CD на GitHub Actions И GitLab CI (хотя бы один — production-grade)
10[ ]Terraform + Ansible — есть рабочие конфиги в репо
11[ ]HashiCorp Vault интегрирован, секреты не хардкодятся
12[ ]Observability stack (Prometheus + Grafana + логи) работает
13[ ]Аудит AWS или Yandex Cloud через Prowler/ScoutSuite пройден
14[ ]Разбор 3+ supply chain атак (SolarWinds, log4j, xz) в блоге
15[ ]Закрыты все Apprentice + большая часть Practitioner на PortSwigger
16[ ]Знаешь словарь РФ-комплаенса (ФСТЭК, ГОСТ Р 56939, КИИ, БДУ, 152-ФЗ)
17[ ]Знаешь словарь РФ-инструментов (PT AI, Solar appScreener, CodeScoring, MaxPatrol)
18[ ]Английский B2+ (для intl) или B1+ (для РФ + чтение доков)
19[ ]1+ принятый репорт на Standoff / BI.ZONE / HackerOne
20[ ]10+ разборов реальных CVE по своему стеку в блоге
21[ ]Manual code review: находишь уязвимости в DVNA/NodeGoat быстрее сканера
22[ ]Книги Agile Application Security + Alice and Bob прочитаны
23[ ]Резюме на двух языках готово (RU hh.ru + EN LinkedIn)
24[ ]5–7 STAR-историй проговорены и 5+ mock interviews пройдено
25[ ]GitHub причёсан: 4–6 закреплённых репо с README, скриншотами CI runs
progress:
0 / 25
// phase color legend
P0 Foundation
P1 DevOps + Observability
P2 AppSec foundation
P3 DevSecOps tooling
P4 K8s · Cloud · Supply Chain
P5 RU specifics + Bug Bounty
P6 Soft skills + Job hunt
// core principles: один сквозной pet-проект · публичный блог-журнал · английский с первого дня · глубина > скорость
// открытый знаниевый ресурс · свободно используй, форкай, улучшай · issues и PR welcome
// github.com/Abdeygodin/devsecops-roadmap // v1.0 · public edition