13 апреля 2026 г.

Компания HH.ru и ГК «Солар» проанализировали тренды кадрового рынка в сфере безопасной разработки, и с какими вызовами сталкивается бизнес. Аналитики отметили растущие разрывы между количеством специалистов и запросами рынка, между фондом оплаты труда и экономической устойчивостью разработки. Набирающий обороты ИИ, в свою очередь, способен снизить нагрузку на команды разработки и AppSec, но, как отмечают эксперты «Солара», результаты его работы всегда должны проверять профессионалы. При этом внедрение специализированных LLM-моделей, работающих в закрытом контуре, сокращает годовой ФОТ команд AppSec от 20 до 50% в зависимости от масштабов разработки.

Аналитики HH.ru в первую очередь отметили, что в 2025 году разрыв между количеством вакансий по безопасной разработке (4,8% от общего числа позиций в ИБ) и количеством резюме (1,5% от общего числа опубликованных профилей в ИБ) приводит к структурному дефициту: специалистов по безопасной разработке в три раза меньше, чем требуется бизнесу. Как отмечают эксперты, этот тренд говорит не просто о нехватке кадров, он подчеркивает сложившийся дисбаланс в подготовке кадров. Рынок требует специалистов нового поколения, которых вузы практически не выпускают. Это тормозит внедрение практик безопасной разработки в компаниях. «Компании будут вынуждены „выращивать“ таких специалистов внутри, тратя ресурсы на переобучение разработчиков или тестировщиков. Конкуренция за этих 1,5% кандидатов будет еще жестче, чем за обычных ИБ-специалистов», — комментируют представители HH.ru.

При этом растущий рынок разработки еще больше усиливает эту тенденцию. По данным Б1, к 2028 году он увеличится с 14% до 24% от объема рынка ИT, при этом более 70% новых корпоративных приложений уже создаются с использованием low-code/no-code и GenAI. Поэтому компании рассматривают ИИ-инструменты, чтобы сбалансировать расходы на DevSecOps, снизить объем рутинных операций, которые выполняют высококвалифицированные специалисты, и обеспечить устойчивость экономической модели в разработке софта.

Дефицит кадров также стимулирует «гонку зарплат» и увеличивает долю расходов на персонал в структуре затрат на разработку ПО. По итогам 2025 года, предлагаемые зарплаты для начинающих специалистов по безопасной разработке с опытом от 1 года до 3 лет составляли от 107 000 до 140 000 рублей. Специалистам среднего уровня квалификации компании были готовы предложить от 193 000 до 260 000 рублей. Профессионалам высокого уровня квалификации — от 330 000 до 420 000 рублей. Такой большой разрыв между начинающими специалистами (107 000) и высококвалифицированными кадрами (420 000) показывает высокий порог входа и высокую цену ошибки.

По оценке HR-специалистов «Солара», годовой фонд оплаты труда команд по безопасной разработке с учетом всех взносов и годового бонуса стартует от 9,3 млн рублей для группы сотрудников, включающей двух специалистов с опытом до трех лет и одного профессионала с опытом свыше шести лет. Оценка годового ФОТ для команд, включающих четырех специалистов с опытом от шести лет, превышает 25,7 млн рублей, а команда из двух экспертов с опытом до трех лет и трех профессионалов с опытом от шести лет потребует расходов на ФОТ свыше 26,3 млн рублей.

«Безопасная разработка — одно из наиболее дорогих и экспертных направлений в информационной безопасности. Поэтому рыночным трендом становится внедрение специализированных ИИ-инструментов, которые могут стать помощником для профессионалов в самых трудоемких операциях по верификации и исправлению уязвимостей. Но важно, чтобы использовались LLM, обученные на практике исправления уязвимостей миллионов софтверных проектов, работающие в закрытом контуре, а результаты их работы обязательно должен проверять опытный AppSec-инженер. ИИ может заменить „десять рук“, но решение всегда остается за человеком. Но даже в этом случае бизнес может сформировать оптимальный состав команды DevSecOps и снизить затраты на ФОТ на 20–50% в зависимости от масштабов разработки», — дополняет Владимир Высоцкий, руководитель отдела развития бизнеса ПО Solar appScreener.

Как отмечают аналитики HH.ru, DevSecOps/AppSec перестает быть экзотикой и становится необходимой потребностью рынка. Компании готовы платить специалистам за безопасность на этапе разработки, а не за отражение кибератаки из-за неустраненной уязвимости. И эта практика готовит рынок к качественному скачку от реактивной безопасности к проактивной. Бизнес понял: дешевле провести Code Review и Secure SDLC, чем платить миллионные штрафы за утечку или терять выручку из-за простоя. Так, стоимость устранения уязвимостей возрастает в 10 раз на поздних этапах разработки, в 640 раз — на этапе запуска приложения, и в 1 000 раз, если уязвимость привела к ИБ-инциденту в момент, когда приложение используют миллионы клиентов.

Этот же фактор формирует спрос на инструменты автоматизации анализа кода (SAST, DAST) и специалистов, умеющих с ними работать. Также растет ценность инженеров с бэкграундом в разработке (Python,Go, Java), а не только в администрировании Linux. Более того, ИБ-специалисты, не владеющие компетенциями в безопасной разработке, будут вынуждены доучиваться или рассматривать позиции в более низких зарплатных сегментах.

«Таким образом, мы уже можем говорить о проникновении ИБ и в промышленность, и в разработку ПО, а также об „элитизации“ ИБ в целом и формировании некой „высшей лиги“ в лице DevSecOps-инженеров, чья зарплата уже обгоняет зарплату обычных специалистов по ИБ и приближается к топ-менеджменту», — подчеркивают аналитики HH.ru.

Источник: Пресс-служба компании «Солар»